Linux下OpenSSL客户端中使用req命令来生成证书的教程(openssh centos)

推荐整理分享Linux下OpenSSL客户端中使用req命令来生成证书的教程(openssh centos)，希望有所帮助，仅作参考，欢迎阅读内容。

文章相关热门搜索词:linux的openssl,openssl安装教程linux,openssl安装教程linux,openssh linux安装教程,openssl安装教程linux,openssh-client,openssh linux安装教程,openssl 客户端,内容如对您有帮助，希望把文章链接给更多的朋友！

openssl req 用于生成证书请求，以让第三方权威机构CA来签发，生成我们需要的证书。req 命令也可以调用x命令，以进行格式转换及显示证书文件中的text，modulus等信息。如果你还没有密钥对，req命令可以一统帮你生成密钥对和证书请求，也可以指定是否对私钥文件进行加密。

1、密钥、证书请求、证书概要说明

在证书申请签发过程中，客户端涉及到密钥、证书请求、证书这几个概念，初学者可能会搞不清楚三者的关系，网上有的根据后缀名来区分三者，更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端（相对于CA）在申请证书的时候，大体上有三个步骤：

第一步：生成客户端的密钥，即客户端的公私钥对，且要保证私钥只有客户端自己拥有。第二步：以客户端的密钥和客户端自身的信息(国家、机构、域名、邮箱等)为输入，生成证书请求文件。其中客户端的公钥和客户端信息是明文保存在证书请求文件中的，而客户端私钥的作用是对客户端公钥及客户端信息做签名，自身是不包含在证书请求中的。然后把证书请求文件发送给CA机构。第三步：CA机构接收到客户端的证书请求文件后，首先校验其签名，然后审核客户端的信息，最后CA机构使用自己的私钥为证书请求文件签名，生成证书文件，下发给客户端。此证书就是客户端的身份证，来表明用户的身份。至此客户端申请证书流程结束，其中涉及到证书签发机构CA，CA是被绝对信任的机构。如果把客户端证书比作用户身份证，那么CA就是颁发身份证的机构，我们以https为例说明证书的用处。

为了数据传输安全，越来越多的网站启用https。在https握手阶段，服务器首先把自己的证书发送给用户(浏览器)，浏览器查看证书中的发证机构，然后在机器内置的证书中（在PC或者手机上，内置了世界上著名的CA机构的证书）查找对应CA证书，然后使用内置的证书公钥校验服务器的证书真伪。如果校验失败，浏览器会提示服务器证书有问题，询问用户是否继续。

例如网站，它使用的自签名的证书，所以浏览器会提示证书有问题，在的网站上有提示下载安装根证书，其用户就是把自己的根证书安装到用户机器的内置证书中，这样浏览器就不会报证书错误。但是注意，除非特别相信某个机构，否则不要在机器上随便导入证书，很危险。

2、req指令说明

上一节我们看到了申请证书流程，生成密钥对我们已经知道，那么如何生成证书请求呢，req指令就该上场了，我们可以查看req的man手册，如下：

openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits][-newkey alg:file] [-nodes] [-key filename] [-keyform PEM|DER] [-keyout filename] [-keygen_engine id] [-[digest]] [-config filename] [-subj arg] [-multivalue-rdn] [-x] [-days n] [-set_serial n][-asn1-kludge] [-no-asn1-kludge] [-newhdr] [-extensions section] [-reqexts section] [-utf8] [-nameopt] [-reqopt] [-subject] [-subj arg] [-batch] [-verbose] [-engine id]发现其参数多而复杂，还有许多没有用到过的参数。但是在实际应用中我们使用到的参数很有限，我们根据req的基本功能来学习。

req的基本功能主要有两个：生成证书请求和生成自签名证书。其他还有一些校验、查看请求文件等功能，示例会简单说明下。参数说明如下

[new/x]

当使用-new选取的时候，说明是要生成证书请求，当使用x选项的时候，说明是要生成自签名证书。

[key/newkey/keyout]

key和newkey是互斥的，key是指定已有的密钥文件，而newkey是指在生成证书请求或者自签名证书的时候自动生成密钥，然后生成的密钥名称有keyout参数指定。

当指定newkey选项时，后面指定rsa:bits说明产生rsa密钥，位数由bits指定。指定dsa:file说明产生dsa密钥，file是指生成dsa密钥的参数文件(由dsaparam生成)

[in/out/inform/outform/keyform]

in选项指定证书请求文件，当查看证书请求内容或者生成自签名证书的时候使用

out选项指定证书请求或者自签名证书文件名，或者公钥文件名(当使用pubkey选项时用到)，以及其他一些输出信息。

inform、outform、keyform分别指定了in、out、key选项指定的文件格式，默认是PEM格式。

[config]

参数文件，默认是/etc/ssl/openssl.cnf(ubuntu.)，根据系统不同位置不同。该文件包含生成req时的参数，当在命令行没有指定时，则采用该文件中的默认值。

除上述主要参数外，还有许多其他的参数，不在一一叙述，有兴趣的读者可以查看req的man手册

3、req指令使用实例

（1）使用已有私钥生成证书请求

使用原有的RSA密钥生成证书请求文件，输入主体相关信息：复制代码代码如下:$ openssl req -new -key RSA.pem -passin pass: -out client.pemYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:AUState or Province Name (full name) [Some-State]:BJLocality Name (eg, city) []:BJOrganization Name (eg, company) [Internet Widgits Pty Ltd]:BJOrganizational Unit Name (eg, section) []:BJCommon Name (e.g. server FQDN or YOUR name) []:BJEmail Address []:BJPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:BJ......使用原有的RSA密钥生成证书请求文件，指定-batch选项，主体信息从配置文件读取：复制代码代码如下:$ openssl req -new -key RSA.pem -passin pass: -out client.pem -batch使用原有的RSA密钥生成证书请求文件，指定-batch选项，主体信息由命令行subj指定：复制代码代码如下:openssl req -new -key RSA.pem -passin pass: -out client.pem -subj /C=AU/ST=Some-State/O=Internet使用原有的RSA密钥生成证书请求文件，指定-batch选项，主体信息由命令行subj指定，且输出公钥：复制代码代码如下:$ openssl req -new -key RSA.pem -passin pass: -out client.pem -subj /C=AU/ST=Some-State/O=Internet -pubkey可以看到公钥和请求信息：复制代码代码如下:$ cat client.pem -----BEGIN PUBLIC KEY-----MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6e+hk0TAsYlPk5XB1tLCtCO8wQ7JMMYQ9SMy4Q1liPg4TdgSkdfbLB2UXmzzMCp+ZBDk9txwtewqv7PVcvY0MCAwEAAQ==-----END PUBLIC KEY----------BEGIN CERTIFICATE REQUEST-----MIIBGDCBwwIBADA1MQswCQYDVQQGEwJBVTETMBEGA1UECAwKUtZS1TdGF0ZTERMA8GA1UECgwISWZXJuZXQwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAvpGTRMCxiU+TlcHW0sK0I7zBDskwxhD1IzLhDWWI+DhN2BKRssHZRebPMwKn5kEOTHCCq/s9Vy9jQwIDAQABoCkwJwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG9w0BAQUFAANBAFBiB0fTUwTSoFeQdTWIr3KXzDHPbgLy1/nlJdYLfGGrRRKmrXgpfakURtF+gEXwLMfPO6FQlaIOYEe/c=-----END CERTIFICATE REQUEST-----

（2）自动生成密钥，生成证书请求文件

自动生成位RSA密钥，并生成证书请求文件：复制代码代码如下:$ openssl req -new -newkey rsa: -out client.pem -keyout RSA.pem -batchGenerating a bit RSA private key.......................................++++++...............................++++++writing new private key to 'RSA.pem'Enter PEM pass phrase:Verifying - Enter PEM pass phrase:......自动生成位RSA密钥，并生成证书请求文件，指定-nodes文件，密钥文件不加密：复制代码代码如下:$ openssl req -new -newkey rsa: -out client.pem -keyout RSA.pem -batch -nodesGenerating a bit RSA private key..++++++.........................++++++writing new private key to 'RSA.pem'......自动生成位DSA密钥参数：复制代码代码如下:$ openssl dsaparam -out DSA.param Generating DSA parameters, bit long primeThis could take some time...+.+..+.+++++++++++++++++++++++++++++++++++++++++++++++++++*................+...........+......+.+.............+.+.....+.+++++++++++++++++++++++++++++++++++++++++++++++++++*自动生成位DSA密钥，并生成证书请求文件，指定-nodes文件，密钥文件不加密：复制代码代码如下:$ openssl req -new -newkey dsa:DSA.param -out client.pem -keyout DSA.pem -batch -nodesGenerating a bit DSA private keywriting new private key to 'DSA.pem'......

（3）生成自签名证书

生成自签名证书，与req参数一样，只需要把req修改为x即可：复制代码代码如下:$ openssl req -x -newkey rsa: -out client.cer -keyout RSA.pem -batch -nodesGenerating a bit RSA private key.........++++++..++++++writing new private key to 'RSA.pem'......查看证书文件：复制代码代码如下:$ openssl x -in client.cer -noout -textCertificate: Data: Version: 3 (0x2) ..... Signature Algorithm: sha1WithRSAEncryption 5b:d7:f5:fd::3a:a9::2a:d9:f1:fc::3a:cf::ff:d1: :e5:2d:3f:7e::a8:::e6::7a:ce:9f::cc:ea:: :d1::bb:c8::ec:ef:::4e:3b:2d:fa:0f::c2:: :1b:a5:ca::bd:9b:dd:4b::d4:8b::3a:d4:7c:aa:8d: 0d:2d:e7:f3:::d2:4a:5a:7f:a2:5d:cc:::9f:ca:2d: :d9:ed:e9::f3:a1:::1d::c6:1c:2b:7a:c1:d6:5d: :::0d::6a::d2:::c5:::cc:9d:e7::6f: d8:

（4）查看证书请求内容

生成证书请求：复制代码代码如下:$ openssl req -new -newkey rsa: -out client.req -keyout RSA.pem -batch -nodesGenerating a bit RSA private key...............................................................++++++......................++++++writing new private key to 'RSA.pem'......查看证书请求内容，subject指定输出主体：复制代码代码如下:$ openssl req -in client.req -noout -text -subjectCertificate Request: Data: Version: 0 (0x0) Subject: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd Subject Public Key Info: Public Key Algorithm: rsaEncryption Public-Key: ( bit) Modulus: ... Exponent: (0x) Attributes: Requested Extensions: Xv3 Basic Constraints: CA:FALSE Xv3 Key Usage: Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: sha1WithRSAEncryption... subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd （5）校验证书请求文件

指定verify指令，校验证书请求文件，其操作时提取请求文件中的公钥来验证签名信息：复制代码代码如下:$ openssl req -verify -in client.req -nooutverify OK

4、生成证书步骤小结

Step 1. Create key (password protected)复制代码代码如下:openssl genrsa -out prvtkey.pem / (with out password protected) 复制代码代码如下:openssl genrsa -des3 -out prvtkey.pem / (password protected)这个命令会生成一个/位的密钥。Step 2. Create certification request复制代码代码如下:openssl req -new -key prvtkey.pem -out cert.csropenssl req -new -nodes -key prvtkey.pem -out cert.csr这个命令将会生成一个证书请求，当然，用到了前面生成的密钥prvtkey.pem文件这里将生成一个新的文件cert.csr，即一个证书请求文件，你可以拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件cacert.pem，那才是你的数字证书。Step 3: Send certificate request to Certification Authority (CA)如果是自己做测试，那么证书的申请机构和颁发机构都是自己。就可以用下面这个命令来生成证书：复制代码代码如下:openssl req -new -x -key prvtkey.pem -out cacert.pem -days 这个命令将用上面生成的密钥privkey.pem生成一个数字证书cacert.pem

Linux系统下无法访问mysql解决方法 mysql是一个关系型数据库管理系统，但最近有用户反映，在Linux系统下无法访问mysql，相信不少用户都有遇到过这个问题，这是怎么回事呢？Linux系统下无

Linux中安装使用http_load对服务器进行压力测试的教程 http_load基于linux平台的一种性能测工具。以并行复用的方式运行，用以测试web服务器的吞吐量与负载，测试web页面的性能。1、下载官方网站：

不知道就OUT了！Linux桌面领域7大趋势 如今，移动互联高速发展，桌面应用环境似乎已成昔日技术，并被移动设备逐步所取代。不过，显对于Linux桌面开发人员是一种并未知晓的状态。在桌面