openssl生成.pem证书

Posted 2023-04-30

参考技术A 测试发现openssl接口需要证书格式为.pem以下为生成方式。

前提：自己生成CA做证书签发（详细查看上一篇）

1.生成CAkey

  openssl genrsa -out cakey.pem 1024

  或者openssl genrsa -des3 -out cakey.pem 1024（需要密码）

2.生成CAcert

openssl req -new -x509 -key cakey.pem -out cacert.pem

3.生成serverKey

  openssl genrsa -out serverkey.pem 1024

或者openssl genrsa -des3 -out serverkey.pem 1024（需要密码）

（转换无密码key：openssl rsa -in serverkey.pem -out serverkey_nopass.pem）；

4.生成serverCSR

openssl req -new -key serverkey_nopass.pem -out servercsr.pem -config openssl.cnf

5.CA对serverCSR签名

openssl ca -in servercsr.pem -out server.pem -cert cacert.pem -keyfile cakey.pem -config openssl.cnf

注可能会出现：failed to update database

TXT_DB error number 2

产生的原因是:

This thing happens when certificates share common data. You cannot have two

certificates that look otherwise the same.

解决方法：将 common name设置成不同的

注颁发客户端流程同server类似。

openssl在mac下生成pkcs8证书

 MacOS下openssl相关操作

 openssl >
 genrsa -out key.pem 2048  生成2048字节 PEM格式的 RSA私钥
 rsa -in key.pem -pubout -out app_public_key.pem 根据PEM格式RSA私钥生成公钥
 pkcs8 -topk8 -inform PEM -in key.pem -outform PEM -out pkcs8.pem 转换成成pkcs8格式密钥 java使用
 req -new -out cert.csr -key key.pem 创建证书请求
 x509 -req -in cert.csr -out rsa_public_key.der -outform der -signkey  key.pem -days 350  生层der格式证书
 x509 -inform der -in rsa_public_key.der -out cert.pem der格式的二进制证书转换成PEM 格式证书
 x509 -outform der -in demo.pem -out demo.cer   PEM 格式证书转换成der 格式证书

也可以直接生成证书和pkcs8私钥

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt  直接生成证书和私钥

参考文章

https://www.cnblogs.com/littleatp/p/5878763.html
https://help.trustasia.com/how-to-generate-csr-file-by-using-openssl/

https://blog.csdn.net/u013983033/article/details/84565003 https://www.cnblogs.com/littleatp/p/5878763.html https://blog.csdn.net/lengxingxing_/article/details/68962034https://www.jianshu.com/p/8d372139c3cb?utm_campaign=maleskine&utm_content=note&utm_medium=seo_notes&utm_source=recommendation