openssl中有如下后綴名的文件
.key格式：私有的密鑰
.csr格式：證書簽名請求（證書請求文件），含有公鑰信息，certificate signing request的縮寫
.crt格式：證書文件，certificate的縮寫
.crl格式：證書吊銷列表，Certificate Revocation List的縮寫
.pem格式：用于導出，導入證書時候的證書的格式，有證書開頭，結尾的格式
?
OpenSSL實現(xiàn)了PKCS7，為什么還要實現(xiàn)CMS？
PKCS7和CMS看起來一樣，CMS基于PKCS7，還基于一個Privacy-Enhanced Mail的標準, 因此CMS也可解析PKCS7簽名
區(qū)別是：PKCS#7不支持遞歸嵌套, CMS支持，CMS還有增加了其它一些東西

1.數(shù)字簽名
非對稱加密算法的效率是非常低的。
將內容使用hash函數(shù)生成摘要，再用私鑰對摘要進行加密，生成數(shù)字簽名。然后將內容附上數(shù)字簽名一同傳輸。
收件方收到后，用公鑰對數(shù)字簽名進行解密，得到摘要，然后再對原內容進行hash生成摘要，比對這兩個摘要是否相同，相同則說明內容沒有被篡改。

2.數(shù)字證書
由CA頒發(fā)給網(wǎng)站的身份證書，里面包含了該網(wǎng)站的公鑰，有效時間，網(wǎng)站的地址，CA的數(shù)字簽名等。
所謂的CA數(shù)字簽名，實際上就是使用了CA的私鑰將網(wǎng)站的公鑰等信息進行了簽名，當客戶端請求服務器的時候，網(wǎng)站會把證書發(fā)給客戶端，客戶端首先可以通過CA的數(shù)字簽名校驗CA的身份，也能證明證書的真實完整性。客戶端有沒有可能到一個假冒的CA去校驗數(shù)字證書呢？不太可能，因為CA的地址是內嵌在瀏覽器中的，很難被篡改。

---------------------------------------------------------------

1. 創(chuàng)建根證書，rootca.pem為根證書
vi rootca.cnf
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
?
[ req_distinguished_name ]
C = CN
O = Test
CN = RootCA
?
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = CA:TRUE
keyUsage = cRLSign, keyCertSign

echo unique_subject=no > index.attr
openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 -config rootca.cnf -outform PEM -out rootca.pem -keyout rootca_pri.pem
openssl x509 -in rootca.pem -inform pem -outform der -out rootca.der

2. 頒發(fā)二級證書（公鑰證書），signcert.pem為公鑰證書
vi signcert.cnf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
?
[ req_distinguished_name ]
C = CN
O = Test
CN = Signing Certificate
?
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
keyUsage = critical, nonRepudiation, digitalSignature
extendedKeyUsage = codeSigning

openssl genrsa -out signcert_pri.pem 2048
openssl req -new -config signcert.cnf -out signcert.csr -key signcert_pri.pem
openssl x509 -req -in signcert.csr -CA rootca.pem -CAkey rootca_pri.pem -CAcreateserial -out signcert.pem -days 3650 -extensions extensions -extfile signcert.cnf
openssl x509 -in signcert.pem -inform pem -outform der -out signcert.der

3. 創(chuàng)建CMS簽名。
使用私鑰證書signcert.pem和私鑰signcert_pri.pem創(chuàng)建CMS格式簽名。source.txt為簽名前原始文件，signed_source.txt為簽名后文件（signed_source.txt即為創(chuàng)建的CMS簽名）
openssl cms -sign -in source.txt -inkey signcert_pri.pem -signer signcert.pem -out signed_source.txt -outform PEM -nodetach

?

總結

以上是生活随笔為你收集整理的使用openssl制作证书和进行CMS格式数字签名的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。