3559a交叉编译openssl

⑴ 海思平台配置toolchain.cmake

交叉编译,在我们的host宿主机器稿知郑上需要生成target目标机器的程序, 使用CMake的Toolchain管理这里的各种环境变量和配置,就很好.

CMake给交叉编译预留了一个变量-- CMAKE_TOOLCHAIN_FILE , 它定义了一个文件的路径, 这个文件就是 toolchain ,我们可以在里面配置 C_COMPILER , CXX_COMPILER ,如果用Qt的话需要更改 QT_QMAKE_EXECUTABLE 以及如果用 BOOST 的话需要更改的 BOOST_ROOT (具体查看相关 Findxxx.cmake 里面指定的路径), 因此,这个 toolchain 内嵌了一系列需要改变并且需要set的交叉环境的设置.

下面归纳一些比较重要的:

下面是一个常规的配置

这样就完成了相关toolChain的编写，之后，你可以灵活的选择到底采用宿主机版本还是开发机版本，之间的区别仅仅是一条 -DCMAKE_TOOLCHAIN_FILE=./cross.toolChain.cmake ，更爽的是，如果你有很多程序需要做转移，但目标平台是同一个，你仅仅需要写一份toolChain放在一个地方，就可以给所有工程使用。

稍微大一点的项目都会用到一些外部依赖库或者tool，CMake提供了 FIND_PROGRAM() , FIND_LIBRARY() , FIND_FILE() , FIND_PATH() and FIND_PACKAGE() 等命令来进行外部依赖的搜索查找。

但是有个问题，假如我们在给一个ARM处理器的移动设备做交叉编译，其中需要寻找 libjpeg.so ，假如 FIND_PACKAGE(JPEG) 返回的是 /usr/lib/libjpeg.so ，那么这就会有问题，因为找到的这个 so 库只是给你的宿主机系统(例如一个x86的Ubuntu主机)服务的，不能用于Arm系统。所以你需要告诉CMake去其它地方去查找，这个时候你就需要配置以下的变量了：

在工程中一般通过如下步骤, 进入工程文件, 创建 arm-himix200-linux.cmake 文件, 内容是:

然后创建build文件夹, 进行编译(注意, 需要指定 CMAKE_MAKE_PROGRAM , 不指定的话好像编译有问题...):

在我的 toolchain 文件中,我指定:

因为我项猛戚目中 CMakeLists.txt 中需要查找 OpenSSL 和 curl , 因此会用到CMake自带的 FindOpenSSL.cmake 和 FindCurl.cmake 两个脚本, 他们会用到 Findxxx 命令, 会去我指定的目录去搜键颂索对应的库

https://www.cnblogs.com/rickyk/p/3875334.html
http://www.cmake.org/Wiki/CMake_Cross_Compiling

⑵ 如何在 Windows 下编译 OpenSSL

1）在微软网站下载并安装VS Studio，
2）下载并安装ActivePerl。
3）下载并安装Nasm汇编器。
4）下载并安装OpenSSL的最新Release包。
这里需要强调的是，读者未必需要完全按照步骤编译OpenSSL库，这里的部分次序是可以互换的。

在完成所有上述4步后，我们就可以解压缩OpenSSL包，在对它进行修改便可以编译了。在解压缩后，所有的源代码放在openssl- 1.0.1e目录下，在此目录下，有两个文件INSTALL.W32, INSTALL.W64需要被关注。打开其中的任何一个文件，你会看到如何编译OpenSSL的各个步骤。这里，笔者将会再啰嗦一下。
1）打开VS Studio命令行工具，如图1所示。若编译64位OpenSSL库，请打开Visual Studio x64 Win64 Command Prompt，反之亦然。
2）配置编译文件及安装目录；
编译Win32：perl Configure VC-WIN32 --prefix=c:\some\openssl\dir
编译Win64：perl Configure VC-WIN64A
“c:\some\openssl\dir”目录可以改成任何你希望的安装目录
3）搭建编译环境：
ms\do_nasm
ms\do_ms
对于64位编译，将ms\do_ms替换成ms\do_win64a
4）编译OpenSSL
nmake -f ms\ntdll.mak
5）安装编译生成的库到“c:\some\openssl\dir”
nmake -f ms\ntdll.mak install

⑶ openssl怎么编译成动态库

1、静态编译
./Configure linux-elf-arm -DB_ENDIAN linux:'armeb-linux-gcc -mbig-endian' --prefix=$(pwd)/OpenSSL
a、 将openssl-0.9.8d/crypto/bio/bss_file.c中以下代码注释掉
//#ifndef _FILE_OFFSET_BITS
//#define _FILE_OFFSET_BITS 64
//#endif
#endif
b、 报错没有timeb.h时，在报错的.c文件中#undef TIMEB
c、 去掉openssl顶层Makefile中“build_all：”后面的 build_app build_test （我们要的只是两个静态库libcrypto.a和libssl.a），并去掉”DIRS=”后面的app和tests。
make && make install

2、动态库
1.config:
#config no-asm --prefix=../OpenSSL
2.改Makefile
1） CC= gcc 改成 CC = armeb-linux-gcc；
2） 删除 CFLAG= 中的 “-march=pentium”；
3） AR=ar $(ARFLAGS) r 改为 AR=armeb-linux-ar $(ARFLAGS) r；
4） ARD=ar $(ARFLAGS) d 改为 ARD=armeb-linux-ar $(ARFLAGS) d；
5）RANLIB= /usr/bin/ranlib 改为 RANLIB= armeb-linux-ranlib；
3.编译
#make
#make install

⑷ 如何将openssl aes源码移植到嵌入式

移植步骤如下：
1、首先将openssl 源码download下来；
2、在你的嵌入式开发环境中，交叉编译openssl源码，生成库文件；
3、在你的嵌入式程序中，添加对交叉编译后的openssl库文件的支持，并在socket通信中调用ssl相关的函数。

⑸ OpenSSL 功能介绍

1 概述

OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

OpenSSL是实现安全套接字层（SSL v2 / v3）和传输层安全（TLS v1）网络协议及其所需的相关加密标准的加密工具包。

OpenSSL：开源项目

三个组件：

openssl: 多用途的命令行工具，包openssl

libcrypto: 加密算法库，包openssl-libs

libssl：加密模块应用库，实现了ssl及tls，包nss

.openssl命令：

两种运行模式：交互模式和批处理模式

opensslversion：程序版本号

标准命令、消息摘要命令、加密命令

标准命令：enc, ca, req, ...

查看帮助：openssl ?

可以通过openssl 来创建CA和颁发证书，文章 http://ghbsunny.blog.51cto.com/7759574/1964754

有做介绍，本文仅介绍openssl这个工具包的其他常用功能

2 案例介绍

2.1 对称加密

工具：openssl  enc, gpg，文章 http://ghbsunny.blog.51cto.com/7759574/1964887 已经介绍

算法：3des, aes, blowfish, twofish

.enc命令：

对称密码命令允许使用基于密码或明确提供的密钥的各种块和流密码来加密或解密数据。 Base64编码或解码也可以通过本身或加密或解密来执行。

The symmetric cipher commands allow data to be encrypted or decrypted using various block and stream ciphers using keys based on passwords or explicitly provided. Base64 encoding or decoding can also be performed either by itself or in addition to the encryption or decryption.

帮助：man enc

例子

加密文件

以下命令运行需要输入一个密码，当解密的时候需要输入相同的密码才能解密，这里新生成的文件后缀名不一定是cipher，可以自己指定

openssl enc  -e -des3 -a -salt -in testfile   -out testfile.cipher

解密文件

openssl  enc   -d -des3 -a -salt –in testfile.cipher -out testfile

2.2 公钥加密

公钥加密生成非对称的密钥

算法：RSA, ELGamal

工具：gpg, openssl  rsautl（man rsautl）

数字签名：

算法：RSA, DSA, ELGamal

密钥交换：

算法：dh

DSA: Digital Signature Algorithm

DSS：Digital Signature Standard

RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。命名是取其名字首字母组合成RSA

RSA公钥与私钥主要用于数字签名(Digital Signature)与认证(Authentication),我们一般也称之为不对称加密/解密。

2.2.1 生成密钥对

帮助：man genrsa

.生成私钥，这个生成密钥的过程要掌握

openssl genrsa  -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS

私钥文件生成后，建议把权限改成600，保护，放在被其他人查看密码信息

私钥里的文件，如果被拿到，没有通过des这关键字加密的话，就相当于是明文

这个命令执行的时候，要输入八位数的密码，当要使用这个私钥的时候需要输入密码

(umask 077; openssl genrsa –out test.key  –des 2048)

括号表示子进程，结束后，umask就会恢复未默认的值，umask的值使得其他人和组都没有任何权限，是为了保护生成的私钥

2.2.2 从私钥中提取出公钥，导出公钥

公钥推不出私钥，私钥可以推出公钥

openssl  rsa  -in PRIVATEKEYFILE –pubout  –out PUBLICKEYFILE

Openssl  rsa  –in test.key  –pubout  –out test.key.pub

公钥是公开的，可以不设置权限，以上是生成公钥

2.2.3 公钥加密文件

openssl rsautl -encrypt -in input.file -inkey pubkey.pem -pubin -out output.file

-in 指定被加密的文件

-inkey 指定加密公钥文件

-pubin 表面是用纯公钥文件加密

-out 指定加密后的文件

例子：

openssl rsautl -encrypt -in ftpback -inkey test.key.pub -pubin -out ftpssl

2.2.4 私钥解密文件

openssl rsautl -decrypt -in input.file -inkey key.pem -out output.file

-in 指定需要解密的文件

-inkey 指定私钥文件

-out 指定解密后的文件

例子：

openssl rsautl -decrypt -in ftpssl -inkey test.key -out  ftpdec

2.3 单向加密

单向加密即获取摘要

工具：md5sum, sha1sum, sha224sum,sha256sum…

openssl    dgst

dgst：摘要功能输出所提供文件的消息摘要或十六进制形式的文件。 它们也可用于数字签名和验证。

The digest functions output the message digest of a supplied file or files in hexadecimal form. They can also be used for digital signing and verification.

.dgst命令：

帮助：man dgst

openssl  dgst  -md5 [-hex默认]  /PATH/SOMEFILE

openssl dgst  -md5 testfile

以上命令将文件生成一个固定长度的摘要值，算法是md5,大小占128bite

md5sum /PATH/TO/SOMEFILE

以上这两个md5得到的结果是一样的

.MAC: Message Authentication Code，单向加密（hash）的一种延伸应用，用于实现网络通信中保证所传输数据的完整性机制

MAC 消息认证码，构造方法可以基于hash，也可以基于对称加密算法，HMAC是基于hash的消息认证码。数据和密钥作为输入，摘要信息作为输出，常用于认证。

源文档

2.4 生成用户密码

passwd命令:

帮助：man sslpasswd

openssl  passwd  -1 -salt SALT

-1对应的就是hash的md5算法

SALT：这里是盐值，人为指定，使得同一密码生成的加密值不一样，最多8位，超过8位没有意义，比如前面8位一样，后面还有几位数不一样，这样生成的密码值是一样的

openssl  passwd  -1 –salt centos

grub-md5-crypt同样生成md5加密的口令，centos为盐值

比如这里的密码我都是输入123，但是盐值不一样，一个是centos，一个是centos6，生成的加密值不一样

2.5 生成随机数

帮助：man sslrand

rand命令在播放随机数生成器一次后输出num伪随机字节。 与其他openssl命令行工具一样，除了-rand选项中给出的文件外，PRNG种子使用文件$ HOME / .rnd或.rnd。 如果从这些来源获得足够的播种，将会写回新的$ HOME / .rnd或.rnd文件。

The rand command outputs num pseudo-random bytes after seeding the random number generator once.  As in other openssl command line tools, PRNG seeding uses the file $HOME/.rnd or .rnd in addition to the files given in the  -rand option.  A new $HOME/.rnd or .rnd file will be written back if enough seeding was obtained from these   sources.

openssl  rand -base64|-hex NUM

指定数字生成随机数，如果是-hex 后面的数值比如6，那么生成的长度是12位，因为hex生成的随机数是16进制组合的数，hex 后面的num是字节数，一个16进制数占用4位，半个字节

base后面可以生成随机密码

base64 生成随机的数，可以用任何字符，也可以把图片保存成base64的格式，通过base64生成的图片，可以

用base64来还原出图片

NUM: 表示字节数；-hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

3 总结

openssl还有很多用法，本文仅单纯介绍了其中一部分，更多用法请使用帮助 man openssl 进行查看

⑹ 求问怎么编译OpenSSL，得到libssl.a 和libcrypto.a，跪求

如何在Windows下编译OpenSSL （VS2010使用VC10的cl编译器）
1、安装ActivePerl//初始化的时候,需要用到perl解释器
2、使用VS2010下的Visual Studio 2010 Command Prompt进入控制台模式（这个模式会自动设置各种环境变量）
3、解压缩openssl的包,进入openssl的目录
4、perl configure VC-WIN32
尽量在这个目录下执行该命令，否则找不到Configure文件，或者指定完整的Configure文件路径。
5、ms\do_ms.bat
在解压目录下执行ms\do_ms.bat命令
6、nmake -f ms\ntdll.mak
7、nmake -f ms\nt.mak

编译后
在openssl解压目录下执行，完成编译后。输出的文件在out32dll (6), out32 (7)里面，包括应用程序的可执行文件、lib文件和dll文件

注意：在运行第五步时，cl编译器会抱怨说.\crypto\des\enc_read.c文件的read是The POSIX name for this item is deprecated（不被推荐的），建议使用_read。呵呵，我可不想将OpenSSL中的所有的read函数修改为_read。再看cl的错误代码error C2220，于是上MSDN上查找：
warning treated as error - no object file generated
/WX tells the compiler to treat all warnings as errors. Since an error occurred, no object or executable file was generated.
是由于设置了/WX选项，将所有的警告都作为错误对待，所以。。。

于是打开OpenSSL目录下的MS目录下的ntdll.mak文件，将CFLAG的/WX选项去掉，存盘。。。
继续执行nmake -f ms\ntdll.mak

=================================
一、编译并安装OpenSSL
1、按照标准步骤从源代码编译安装OpenSSL
在编译OpenSSL前，需要正确安装Perl，因为在编译OpenSSL时需要使用到该程序。

下载最新版本的Perl然后安装之。
下载最新版本的OpenSSL

然后将源码解压缩到某个目录（如 C:\openssl-0.9.8j）中。

进入openssl源码目录。
cd c:\openssl-1.0.1e

以下为参照该目录下的文件INSTALL.W32的执行过程：
运行configure：
perl Configure VC-WIN32
创建Makefile文件：
ms\do_ms.bat

编译动态库：
nmake -f ms\ntdll.mak
编译静态库：
nmake -f ms\nt.mak
测试动态库：
nmake -f ms\ntdll.mak test
测试静态库：
nmake -f ms\nt.mak test
安装动态库：
nmake -f ms\ntdll.mak install
安装静态库：
nmake -f ms\nt.mak install
清除上次动态库的编译，以便重新编译：
nmake -f ms\ntdll.mak clean
清除上次静态库的编译，以便重新编译：
nmake -f ms\nt.mak clean
2、如果嫌麻烦，不想编译，可以直接用别人做好的windows OpenSSL 安装包（我用的是0.9.8j版），
可以下载 OpenSSL for Windows，直接安装。
P.S. OpenSSL for Windows 的源代码有一些数据类型和VC6的编译器不兼容，我发现的不兼容的数据类型如下：
在OpenSSL安装目录的下的include/bn.h文件中，将
#define BN_ULLONG unsigned long long
#define BN_ULONG unsigned long long
#define BN_LONG long long
分别修改为：
#define BN_ULLONG ULONGLONG
#define BN_ULONG ULONGLONG
#define BN_LONG LONGLONG
否则，会出现编译错误。

二、使用OpenSSL
在VC中配置使用以上的函数库：
点击菜单：Tools -> Options，弹出对话框"Options"，在该对话框中选择"Directories"标签。
在"Show directories for:"的"Include files"选项中新增目录"C:\openssl\include"；
"Library files"选择中新增目录"C:\openssl\lib"。
然后在需要链接OpenSSL函数库的工程中加入如下两句：
#pragma comment(lib, "ssleay32.lib")
#pragma comment(lib, "libeay32.lib")
其作用是将OpenSSL所需的库导入工程中。
三、问题
我在链接OpenSSL的静态函数库时遇到类似以下的问题：
Linking...
msvcrt.lib(MSVCRT.dll) : error LNK2005: _strchr already defined in libcmtd.lib(strchr.obj)
...

这是由于OpenSSL的静态函数库使用的是了VC的多线程DLL的Release版本，而我的程序使用了多线程静态链接的Release版本。
调整OpenSSL的静态函数库使用的库函数版本即可，调整过程如下：

编辑文件 ms\nt.mak，将该文件第19行
"CFLAG= /MD /Ox /O2 /Ob2 /W3 /WX /Gs0 /GF /Gy /nologo -DOPENSSL_SYSNAME_WIN32 -DWIN32_LEAN_AND_MEAN -DL_ENDIAN -DDSO_WIN32 -D_CRT_SECURE_NO_DEPRECATE -
D_CRT_NONSTDC_NO_DEPRECATE /Fdout32 -DOPENSSL_NO_CAMELLIA -DOPENSSL_NO_SEED -DOPENSSL_NO_RC5 -DOPENSSL_NO_MDC2 -DOPENSSL_NO_TLSEXT -DOPENSSL_NO_KRB5 -
DOPENSSL_NO_DYNAMIC_ENGINE"
中的"/MD"修改为"/MT"。然后重新编译安装OpenSSL即可。
四、附录：在VC中对C/C++ 运行时库不同版本编译指令说明
《在VC中对C/C++ 运行时库不同版本编译指令说明》一文中详细介绍了连接不同版本库的编译指令如下：
C Runtime Library：
/MD MSVCRT.LIB 多线程DLL的Release版本
/MDd MSVCRTD.LIB 多线程DLL的Debug版本
/MT LIBCMT.LIB 多线程静态链接的Release版本
/MTd LIBCMTD.LIB 多线程静态链接的Debug版本
/clr MSVCMRT.LIB 托管代码和非托管代码混合
/clr:pure MSVCURT.LIB 纯托管代码
C++ Standard Library：
/MD MSVCPRT.LIB 多线程DLL的Release版本
/MDd MSVCPRTD.LIB 多线程DLL的Debug版本
/MT LIBCPMT.LIB 多线程静态链接的Release版本
/MTd LIBCPMTD.LIB 多线程静态链接的Debug版本
===============================================

一 配置编译参数
配置编译参数是进行OpenSSL编译的第一步,这一步可以确定系统的环境,使用什么编译器,默认安装路径以及其他一些选项.步骤如下:
1.安装perl:下载ActivePerl-5.8.8.822-MSWin32-x86-280952.msi,然后点击msi文件进行安装!

2..配置编译参数:下载openssl-1.0.1e.tar.gz,解压.
vc:首先在C:\Program Files\Microsoft Visual Studio .NET 2010\VC10\bin\目录下执行vcvars32.bat,然后在解压后的openssl-1.0.1e目录,执行命令配置编译参数:perl Configure VC-WIN32
bc:在解压后的openssl-0.9.8g目录下执行:perl Configure BC-32

二 生成批处理文件
在使用configure脚本配置好的编译参数后,就可以使用批处理命令来生成编译脚本.生成编译脚本根据采用编译器的不同通常使用不同的批处理文件.就目前来说,使用vc编译的时候有三种选择:do_ms,do_masm和do_nasm来创建一系列编译脚本文件,即.mak脚本.步骤如下:
vc:在openssl-1.0.1e目录下,执行命令来批处理文件:do_ms,do_masm和do_nasm
bc:1.下载nsm09839.zip微软汇编编译器,解压,拷贝到c:/windows目录下,修改名称为nasmw.exe;2.在openssl-1.0.1e目录下,执行命令来批处理文件:ms\do_nasm

三 代码编译
vc:
完成上面步骤后,可以看到两个关键脚本文件:nt.mak和ntdll.mak.如果我们需要编译后的OpenSSL库是支持动态DLL形式的,那么应该使用ntddll.mak文件进行编译,这样编译完成我们会得到四个与OpenSSL的API库有关文件:ssleay32.lib,libeay32.lib,ssleay32.dll和libeay32.dll.执行的编译命令形式如下:nmake -f ms\ntdll.mak
如果不希望以动态库的形式使用OpenSSL,那么可以使用nt.mak文件进行编译.这样编译后使用OpenSSL的时候,回直接将代码链接进我们的程序里面.执行命令如下:nmake -f ms\nt.mak
bc:执行命令来完成代码编译:make -f ms\bcb.mak
四 ELSE
1)
测试动态库：
nmake -f ms\ntdll.mak test
测试静态库：
nmake -f ms\nt.mak test

安装动态库：
nmake -f ms\ntdll.mak install
安装静态库：
nmake -f ms\nt.mak install

清除上次动态库的编译，以便重新编译：
nmake -f ms\ntdll.mak clean
清除上次静态库的编译，以便重新编译：
nmake -f ms\nt.mak clean

2)
使用OpenSSL
在VC中配置使用以上的函数库：
点击菜单：Tools -> Options，弹出对话框"Options"，在该对话框中选择"Directories"标签。
在"Show directories for:"的"Include files"选项中新增目录"C:\openssl\include"；"Library files"选择中新增目录"C:\openssl\lib"。
然后在需要链接OpenSSL函数库的工程中编译时加入"libeay32.lib"就可以了。

⑺ OpenSSL详解

OpenSSL初接触的人恐怕最难的在于先理解各种概念

公钥/私钥/签名/验证签名/加密/解密/非对称加密

我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,网络有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

RSA/DSA/SHA/MD5

非对称加密的算法有很多,比较着名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

CA/PEM/DER/X509/PKCS

一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

为了方便理解，我画了一个图，如下：

使用 openssl 生成证书（含openssl详解）
一、openssl 简介
openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。
官网： https://www.openssl.org/source/

构成部分
密码算法库

密钥和证书封装管理功能

SSL通信API接口

用途
建立 RSA、DH、DSA key 参数

建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)

计算消息摘要

使用各种 Cipher加密/解密

SSL/TLS 客户端以及服务器的测试

处理S/MIME 或者加密邮件

二、RSA密钥操作
默认情况下，openssl 输出格式为 PKCS#1-PEM

生成RSA私钥(无加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私钥(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 进行密码输入，否则会提示输入密码；
生成加密后的内容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,
Base64 Encoded
Data-----END RSA PRIVATE KEY-----

此时若生成公钥，需要提供密码

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 进行密码输入，否则会提示输入密码；

转换命令
私钥转非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私钥转加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私钥PEM转DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 参数制定输入输出格式，由der转pem格式同理

查看私钥明细

openssl rsa -in rsa_private.key -noout -text

使用-pubin参数可查看公钥明细

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采用des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt参数可以输出无加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成CA自签名证书和RSA私钥(测试场景步骤)
测试场景步骤1：生成 RSA 私钥和自签名证书：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt

注释：

操作步骤如下：提示填写过程中如果想删除填写的内容，用ctrl+Backspace删除前面的字符

[root@szxelab01-web-100 cert]# openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt
Generating a 2048 bit RSA private key
.............+++
........................+++
writing new private key to 'rsa_private.key'

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

[root@szxjdwins01-web-27 cert]# ll
total 8
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

openssl req -new -x509 -days 36500 -key rsa_private.key -out cert.crt

四、生成服务器签名请求文件及CA 签名颁发服务器证书（）
server.key建议不要加密码，如果加密码，重启nginx的时候每次都需要密码才可以启动nginx影响效率。
nginx配置只需要server.key和server.crt两个文件。

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
Generating RSA private key, 2048 bit long molus
............................+++
.......+++
e is 65537 (0x10001)

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -out server.key 2048
Generating RSA private key, 2048 bit long molus
.............................................+++
........................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: 111111手动输入密码
Verifying - Enter pass phrase for server.key: 111111手动输入密码

[root@szxelab01-web-27 cert]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 不输入密码
An optional company name []: 不输入密码

此后输入密码、server证书信息完成，也可以命令行指定各类参数

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

*** 此时生成的 csr签名请求文件可提交至 CA进行签发 ***

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt

[root@szxelab01-web-27 cert]# openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected]
Getting CA Private Key

其中 CAxxx 选项用于指定CA 参数输入

[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1766 Jun 22 14:54 server.key

此时对nginx任何操作，都需要提示输入server.key的密码才可以执行。
[root@szxelab01-web-27 nginx]# /application/nginx/sbin/nginx -t
Enter PEM pass phrase: 输入密码111111
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok

为例不输入密码，需要把加密server.key转换成不加密的server.key

[root@szxelab01-web-27 cert]# openssl rsa -in server.key -passin pass:111111 -out server.key
writing RSA key

此时nginx操作就不提示输入密码了：
[root@szxelab01-web-27 cert]# /application/nginx/sbin/nginx -t
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok
nginx: configuration file /application/nginx-1.12.2//conf/nginx.conf test is successful

证书位置：
[root@szxelab01-web-27 cert]# pwd
/application/nginx/cert
[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1679 Jun 22 15:19 server.key

至此测试场景私有证书配置完成
五、证书查看及转换
查看证书细节

openssl x509 -in cert.crt -noout -text

转换证书编码格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 证书(含私钥)

** 将 pem 证书和私钥转 pkcs#12 证书 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指导出pkcs#12 证书，-inkey 指定了私钥文件，-passin 为私钥(文件)密码(nodes为无加密)，-password 指定 p12文件的密码(导入导出)

** 将 pem 证书和私钥/CA 证书 合成pkcs#12 证书**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同时添加证书链，-CAfile 指定了CA证书，导出的p12文件将包含多个证书。(其他选项：-name可用于指定server证书别名；-caname用于指定ca证书别名)

** pcks#12 提取PEM文件(含私钥) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密码(导入导出)，-passout指输出私钥的加密密码(nodes为无加密)
导出的文件为pem格式，同时包含证书和私钥(pkcs#8)：

Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN= vihoo.com/[email protected]
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN= viroot.com/[email protected] CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/
1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

仅提取证书(所有证书)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

仅提取ca证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

仅提取server证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令参考