使用openssl制作证书和进行CMS格式数字签名
openssl中有如下后綴名的文件
.key格式:私有的密鑰
.csr格式:證書簽名請(qǐng)求(證書請(qǐng)求文件),含有公鑰信息,certificate signing request的縮寫
.crt格式:證書文件,certificate的縮寫
.crl格式:證書吊銷列表,Certificate Revocation List的縮寫
.pem格式:用于導(dǎo)出,導(dǎo)入證書時(shí)候的證書的格式,有證書開頭,結(jié)尾的格式
?
OpenSSL實(shí)現(xiàn)了PKCS7,為什么還要實(shí)現(xiàn)CMS?
PKCS7和CMS看起來一樣,CMS基于PKCS7,還基于一個(gè)Privacy-Enhanced Mail的標(biāo)準(zhǔn), 因此CMS也可解析PKCS7簽名
區(qū)別是:PKCS#7不支持遞歸嵌套, CMS支持,CMS還有增加了其它一些東西
1.數(shù)字簽名
非對(duì)稱加密算法的效率是非常低的。
將內(nèi)容使用hash函數(shù)生成摘要,再用私鑰對(duì)摘要進(jìn)行加密,生成數(shù)字簽名。然后將內(nèi)容附上數(shù)字簽名一同傳輸。
收件方收到后,用公鑰對(duì)數(shù)字簽名進(jìn)行解密,得到摘要,然后再對(duì)原內(nèi)容進(jìn)行hash生成摘要,比對(duì)這兩個(gè)摘要是否相同,相同則說明內(nèi)容沒有被篡改。
2.數(shù)字證書
由CA頒發(fā)給網(wǎng)站的身份證書,里面包含了該網(wǎng)站的公鑰,有效時(shí)間,網(wǎng)站的地址,CA的數(shù)字簽名等。
所謂的CA數(shù)字簽名,實(shí)際上就是使用了CA的私鑰將網(wǎng)站的公鑰等信息進(jìn)行了簽名,當(dāng)客戶端請(qǐng)求服務(wù)器的時(shí)候,網(wǎng)站會(huì)把證書發(fā)給客戶端,客戶端首先可以通過CA的數(shù)字簽名校驗(yàn)CA的身份,也能證明證書的真實(shí)完整性。客戶端有沒有可能到一個(gè)假冒的CA去校驗(yàn)數(shù)字證書呢?不太可能,因?yàn)镃A的地址是內(nèi)嵌在瀏覽器中的,很難被篡改。
---------------------------------------------------------------
1. 創(chuàng)建根證書,rootca.pem為根證書
vi rootca.cnf
[ req ]
default_bits = 4096
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
?
[ req_distinguished_name ]
C = CN
O = Test
CN = RootCA
?
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always, issuer
basicConstraints = CA:TRUE
keyUsage = cRLSign, keyCertSign
echo unique_subject=no > index.attr
openssl req -new -nodes -utf8 -sha256 -days 36500 -batch -x509 -config rootca.cnf -outform PEM -out rootca.pem -keyout rootca_pri.pem
openssl x509 -in rootca.pem -inform pem -outform der -out rootca.der
2. 頒發(fā)二級(jí)證書(公鑰證書),signcert.pem為公鑰證書
vi signcert.cnf
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
prompt = no
string_mask = utf8only
x509_extensions = extensions
?
[ req_distinguished_name ]
C = CN
O = Test
CN = Signing Certificate
?
[ extensions ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid, issuer
basicConstraints = CA:FALSE
keyUsage = critical, nonRepudiation, digitalSignature
extendedKeyUsage = codeSigning
openssl genrsa -out signcert_pri.pem 2048
openssl req -new -config signcert.cnf -out signcert.csr -key signcert_pri.pem
openssl x509 -req -in signcert.csr -CA rootca.pem -CAkey rootca_pri.pem -CAcreateserial -out signcert.pem -days 3650 -extensions extensions -extfile signcert.cnf
openssl x509 -in signcert.pem -inform pem -outform der -out signcert.der
3. 創(chuàng)建CMS簽名。
使用私鑰證書signcert.pem和私鑰signcert_pri.pem創(chuàng)建CMS格式簽名。source.txt為簽名前原始文件,signed_source.txt為簽名后文件(signed_source.txt即為創(chuàng)建的CMS簽名)
openssl cms -sign -in source.txt -inkey signcert_pri.pem -signer signcert.pem -out signed_source.txt -outform PEM -nodetach
?
總結(jié)
以上是生活随笔為你收集整理的使用openssl制作证书和进行CMS格式数字签名的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux技能包【7】:制作 https
- 下一篇: mkcert制作信任的本地 SSL 证书