Tools - OpenSSL

OpenSSL

http://www.openssl.org/

OpenSSL is an open source project that provides a robust, commercial-grade, and full-featured toolkit for the Transport Layer Security (TLS) and Secure Sockets Layer (SSL) protocols. It is also a general-purpose cryptography library. For more information about the team and community around the project, or to start making your own contributions, start with the community page. To get the latest news, download the source, and so on, please see the sidebar or the buttons at the top of every page.

The OpenSSL toolkit is licensed under an Apache-style license, which basically means that you are free to get and use it for commercial and non-commercial purposes subject to some simple license conditions.

 

OpenSSL的总结

http://www.cnblogs.com/xiaocen/p/3712945.html

OpenSSL笔记

http://blog.csdn.net/zzxian/article/details/7739673

使用openssl工具来验证服务器证书以及握手过程

http://blog.csdn.net/tzdjzs/article/details/28113893

 

 

OpenSSL认证文件的生成

 

# 概念：

      首先要有一个根证书，而后用根证书来签发用户证书。

      用户进行证书申请：通常先会生成一个私钥，而后用私钥生成证书请求(证书请求里应含有公钥信息)，再利用证书服务器的根证书来签发证书。

特别说明:

（1）自签名证书(通常用于顶级证书、根证书): 证书的名称和认证机构的名称相同.

（2）根证书：根证书是CA认证中心给本身颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任

 

数字证书则是由证书认证机构（CA）对证书申请者真实身份验证以后，用CA的根证书对申请人的信息以及申请人的公钥进行签名（至关于加盖发证书机构的公章）后造成的一个数字文件。

数字证书将公钥与特定的申请人匹配，包含申请人的公钥，而且该证书的真实性由颁发机构保证，这样就保证了公钥的安全有效地发布。

证书将包含下列信息：

• 组织的公用名称
  
• 其它标识性信息（如 IP 和物理地址）
  
• 公钥
  
• 公钥的到期日期
  
• 发出此 ID 的 CA 的名称
  
• 一个惟一的序列号
  
• CA的数字签名
  

 

# 步骤

          认证中心CA（本身作CA）：生成CA私钥(ca.key)--->>生成CA证书请求(ca.csr)--》自签名获得根证书(ca.crt, CA给自已颁发的证书)

          Client and Server：生成私钥(client.key/server.key)--->>生成证书请求(client.csr/server.csr)--->>经过CA签名获得证书(client.crt/server.crt)

          也可将证书请求(client.csr/server.csr)发送到verisign等第三方认证机构并支付必定费用由它验证。

          生成的证书格式能够互相转换，例如：生成的.crt可转换成.pem；利用.key和.crt两个文件能够生成p12格式证书或者是pem格式证书 。

 

# 最终能够生成

服务端证书：ca.crt, server.key, server.crt, (server.pem, server.pfx, ......)

客户端证书：ca.crt, client.key, client.crt, (client.pem, client.pfx, ......)

 

# 证书格式转换

例如，pem格式的证书能够由证书文件（crt）和私钥文件（key）合并来生成

 

# 证书的文件形式

做为文件形式存在的证书通常有这几种格式：

　　1.带有私钥的证书

　　    由Public Key Cryptography Standards #12，PKCS#12标准定义，包含了公钥和私钥的二进制格式的证书形式，以pfx做为证书文件后缀名。

　　2.二进制编码的证书

　　    证书中没有私钥，DER 编码二进制格式的证书文件，以cer做为证书文件后缀名。

　　3.Base64编码的证书

           证书中没有私钥，BASE64 编码格式的证书文件，也是以cer做为证书文件后缀名。

由定义能够看出，只有pfx格式的数字证书是包含有私钥的，cer格式的数字证书里面只有公钥没有私钥。

 

# 常见文件后缀

.key：通常指PEM格式的私钥文件。

.crt：证书文件，certificate的缩写。

.csr：(证书签名请求（Certificate Signing Request)，含有公钥信息。

.crl：(证书吊销列表，Certificate Revocation List)，是证书撤销状态的公布形式，就像信用卡的黑名单，用于公布某些数字证书再也不有效。

CRL 是一种离线的证书状态信息，以必定的周期进行更新。所以必须按期下载该清单，才会取得最新信息。
基本的 CRL信息有:被撤销证书序列号、撤销时间、撤销缘由、签名者以及 CRL 签名等信息。
基于 CRL 的验证是一种不严格的证书认证。CRL 能证实在 CRL 中被撤销的证书是无效的。可是它不能给出不在 CRL 中的证书的状态

.pem：PEM(Privacy Enhanced Mail)是 openssl 默认采用的存放信息的格式。用于导出，导入证书。

Openssl 中的 PEM 文件通常包含以下：
内容类型 ----- 代表本文件存放的是什么信息内容,有证书开头，结尾的格式，形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。
头信息 ----- 代表数据是若是被处理后存放,openssl 中用的最多的是加密信息,好比加密算法以及初始化向量 iv。
信息体 ----- BASE64 编码的数据。能够包括全部私钥（RSA 和 DSA）、公钥（RSA 和 DSA）和 (x509) 证书。
存储用 Base64 编码的 DER 格式数据，用 ascii 报头包围，所以适合系统之间的文本模式传输。

.jks : 一般能够将Apache/OpenSSL使用的“KEY文件 + CRT文件”格式”转换为标准的Java Key Store(JKS)文件。

JKS文件格式被普遍的应用在基于JAVA的WEB服务器、应用服务器、中间件。
能够将JKS文件导入到TOMCAT、 WEBLOGIC 等软件。