openssl命令的用法

密钥的生成

a. 生成非对称密钥对

openssl genrsa -out rsa.key

b. 指定生成的密钥的位数,默认512

openssl genrsa -out rsa_2048.key 2048

c. 为私钥添加密码 (一般都不用)

openssl genrsa -out rsa_des3.key -des3

密钥的查看

d. 查看私钥

openssl rsa -in rsa.key

e. 查看公钥

openssl rsa -in rsa.key -pubout

f. 查看公钥和modulus

openssl rsa -in rsa.key -modulus

g. 查看密钥的详细信息,包含component prime等细节信息，这些信息的值都是冒号分割的，称为abstract

openssl rsa -in rsa.key -text

h. 查看只有public key的文件

openssl rsa -in pub.txt -pubin

注：

pub.txt 可由

openssl rsa -in rsa.key -pubout >pub.txt

或

openssl rsa -in rsa.key -pubout -out pub.txt

产生

如果pub.txt 中不是公钥将报错， -pubin 仅仅说明 -in 所指定的文件里面是什么

i. 只查看key的其他信息，不显示key

openssl  rsa -in rsa.key -noout

openssl rsautl 系列

1. 使用生成的公钥加密文件

openssl rsautl -encrypt -in hello -inkey test_pub.key -pubin -out hello.en

1

opensslrsautl-encrypt-inhello-inkeytest_pub.key-pubin-outhello.en

-in指定要加密的文件，-inkey指定密钥，-pubin表明是用纯公钥文件加密，-out为加密后的文件

2. 使用生成的私钥解密文件

openssl rsautl -decrypt -in hello.en -inkey test.key -out hello.de

1

opensslrsautl-decrypt-inhello.en-inkeytest.key-outhello.de

-in指定被加密的文件，-inkey指定私钥文件，-out为解密后的文件

参考： http://www.cnblogs.com/aLittleBitCool/archive/2011/09/22/2185418.html

其它：

检查是否含有某个子命令

openssl no-rsa

输出rsa，命令的返回值为1，说明存在该子命令

openssl no-des5

输出no-des5 命令的返回值为0，说明不存在des5这个子命令

分析key的详细信息

openssl asn1parse -in rsa.key

openssl asn1parse -in pub.txt

签名和签名的验证

这里给出一个例子：

基本步骤：

1. 生成rsa密钥对

2. 用私钥做签名

3. 用公钥做验证

[root@bsso ~]# openssl

OpenSSL> genrsa -out rsa.1024 1024

Generating RSA private key, 1024 bit long modulus

………..++++++

……….++++++

e is 65537 (0x10001)

OpenSSL> rsa -in rsa.1024 -pubout

writing RSA key

—–BEGIN PUBLIC KEY—–

MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD0BlFXN1wkgBb5hadMeLz4Pqj2

nZQGyyidW1GTun9rnKkG7o/v/YM8MCcrqW+2hizkbJygfRGvb1iHvc22SD7Q1Unk

7yKU5qDiDnXdIl1x05PMGRwfNhG75uv9tr/IsxA+bmIrEAZ+fxlGhXbg8R2gUm2O

c51AyBOgb92DtEfLgQIDAQAB

—–END PUBLIC KEY—–

OpenSSL> rsa -in rsa.1024 -pubout -out rsa.1024.pub

writing RSA key

OpenSSL> dgst -sign rsa.1024 -sha1 -out a.sign a.php

OpenSSL> dgst -verify rsa.1024.pub -sha1 -signature a.sign a.php

Verified OK

OpenSSL>

如何查看公钥的位数：

解释一个错误的说法： 上面的公钥base64 decode 之后为94字节， 不能说该公钥的位数为 94*8 = 752位； 而是用上面的方法查看，为： 512位