OpenSSL部分文档翻译
1. man req (查看req详细用法)
req命令主要是用来以PKCS#10格式创建和处理证书请求。例如用作根证书认证机构root CAs的话,它也可以用来创建自签名证书
openssl req 参数解释:
-in filename 指定该项标识从文件中读取证书请求,否则从标准输入读取请求。只有当创建选项 `-new `和 `-newkey`
没有指定时才会读取请求。
-out filename 指定输出到文件,不配置输出到标准输出。
-new 该选项会生成一个新的证书请求,它会提示用户提供相关的配置值。这些配置在配置文件中指定。
如果不使用 `-key` 选项,会根据配置文件中的信息生成非对称密钥RSA私钥。
-newkey arg 该选项会创建一个新证书请求并且创建新的密钥。参数有一到多种形式,rsa:nbits,nbits
不指定的话,将会使用配置文件中的作为默认值。
-key filename 将要读取的私钥文件
-keyout filename 存放新创建的私钥文件,如果不指定,会使用配置文件中有配置项
-nodes 指定该项时,创建出的私钥不会被加密
-x509 该选项输出的是自签名的证书而不是证书请求,通常用作生成测试证书或者自签名的根证书机构root CA。扩展
配置会使用配置文件中的配置
-days n 证书有效期
-sha256 指定摘要算法,会覆盖配置文件中的选项
2. man x509 (证书显示和签名工具)
x509命令是多用途的证书工具。可以用来显示证书信息、转换证书格式、签署证书请求(小型CA)
以及编辑证书信任设置。
-in filename 证书文件
-out filename 产出文件
-req 默认情况下期望输入一个证书,使用该选项表示期望输入证书请求
-CA filename 指定CA证书用来签名signing。该选项通常和-req同时使用。如果没有
-req选项,该选项的证书文件输入必须是自签名过的。
-CAkey filename 设置CA的私钥来签名。如果没指定,会假定CA私钥在CA证书文件中。
-CAserial filename 设置CA序列号,当指定CA选项来签名证书时,会使用文件方式提供的序列号。
默认文件以.srl后缀提供
-CAcreateserial 当时用该选项时,如果没提供-CAserial的.srl文件,会自动创建该序列号文件。
-extfile filename 证书文件扩展项文件,如果不指定,证书文件不会加入扩展项。