1. 概念解释:
CSR文件:CSR,Certificate Signing Request的缩写,即证书签名请求,CSR文件是申请单位申请SSL证书时所需要的一个数据文件。CA使用CA自己的私钥对CSR文件的内容的摘要进行签名,生成数字证书PEM文件
2. openssl的使用方法
2.1.生成csr文件和私钥key文件
- 使用RSA加密算法
openssl req -new –SHA256 -newkey rsa:2048 -nodes -keyout user5-org3.key -out user5-org3.csr -subj "/C=CN/ST=sh/L=sh/O=/OU=IT/CN=user5-org3"
说明:
user5-org3.csr就是生成的csr文件,user5-org3.key就是生成的私钥key文件。
私钥key文件通常有两种格式:pkcs#1和pkcs#8,默认为pkcs#1
pkcs#1格式包含如下的头部和尾部:
-----BEGIN EC PRIVATE KEY-----
base64的编码数据
-----END EC PRIVATE KEY-----
pkcs#8格式包含如下的头部和尾部:
-----BEGIN PRIVATE KEY-----
base64的编码数据
-----END PRIVATE KEY-----
- 使用ECDSA加密算法
先生成ecparam.pem文件
openssl ecparam -out ecparam.pem -name prime256v1
再生成csr文件和私钥key文件
openssl req -new -SHA256 -newkey ec:ecparam.pem -nodes -keyout user5-org3.key -out user5-org3.csr -subj "/C=US/ST=North Carolina/L=North Carolina/O=/OU=user/CN=user5-org3"
说明:
这个例子指定了生成的csr文件里的一些域,通常使用的域的含义如下:
CN(Common Name):公用名,必填项,一般指网站域名全称,包括您的主机名+域名,例如www.163.com。公用名必须与要用该服务器证书的主机的全名完全相同,如www.163.com的证书是不能用在mail.163.com的主机上。163.com,www.163.com和mail.163.com这3个是3个不同的公用名
O(Organization):申请单位组织名,必填项,
OU(Organization Unit):申请单位的单位部门
C(City):申请单位所在的城市
ST(State/Province):申请单位所在的省份
C(Country Name):国家名称,一般用的是两位大写的国家代码,如:CN表示中国
2.2.解析csr文件
openssl req -in user5-org3.csr -noout -text
上面截图中的pub字段是公钥,共65个字节,第一个字节是0x04,后面的64个字节分别是公钥的X(32个字节)和Y(32个字节)
Signature Algotithm表明所使用的哈希算法是SHA256(用于计算摘要),加密算法是ecdsa(以太坊和超级账本都是使用ecdsa)。后面的字节是使用私钥对Signature Algotithm字段上面的内容进行签名的签名值。其过程是:先使用SHA256对签名内容进行哈希获得待签名的摘要(哈希值),再使用私钥对摘要通过ecdsa加密算法进行签名。
2.3.解析pem文件
pem文件是ca server通过自己的私钥对csr文件进行签名后获得的文件
openssl x509 -in user5-org3.pem -noout -text
------------------------------------------------------------------------------
我的公众号:区块链战斗机
我的学习笔记:www.study.win
如果你觉得这篇文章写得还可以,请帮忙点个赞,谢谢!著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处并保留原文链接。
你的鼓励,我的动力!