openssl 命令详解

OpenSSL 是一个强大的开源工具包，用于实现安全套接字层（SSL）和传输层安全（TLS）协议，同时提供了大量的加密算法和工具。其中，openssl 命令作为其核心交互方式，为开发者、系统管理员以及安全专业人士提供了丰富的功能，涵盖证书管理、加密解密、密钥生成等多个方面。
在使用 openssl 命令前，确保系统已安装 OpenSSL。大多数 Linux 发行版可通过包管理器安装，如在 Ubuntu 中，执行sudo apt - get install openssl；在 CentOS 中，使用sudo yum install openssl。对于 Windows 系统，可从 OpenSSL 官网下载安装包进行安装。

证书管理

1、 生成自签名证书：自签名证书常用于测试环境或内部网络。使用以下命令生成一个 2048 位 RSA 密钥对，并创建一个自签名的 X.509 证书，有效期为 365 天。
openssl req -newkey rsa:2048 -nodes -keyout mykey.key -out mycert.csr
openssl x509 -req -in mycert.csr -days 365 -signkey mykey.key -out mycert.crt
其中，req子命令用于生成证书请求（CSR），-newkey rsa:2048指定生成 2048 位的 RSA 密钥，-nodes表示不加密生成的私钥，-keyout指定私钥输出文件名，-out指定 CSR 输出文件名。x509子命令用于处理 X.509 证书相关操作，-req表示输入是一个证书请求，-days设置证书有效期，-signkey指定用于签名的私钥。
2、 查看证书信息：要查看证书的详细信息，如颁发者、有效期、公钥等，可使用如下命令：
openssl x509 -in mycert.crt -text -noout
-text参数用于以文本格式显示证书内容，-noout表示不输出证书的二进制内容。
3、 验证证书链：在验证服务器证书时，需确保其证书链完整且可信。假设有一个根证书root.crt和服务器证书server.crt，可通过以下命令验证：
openssl verify -CAfile root.crt server.crt
-CAfile指定根证书文件，若验证成功，将输出server.crt: OK。

加密与解密

1、 对称加密：以 AES - 256 - CBC 加密算法为例，对文件plaintext.txt进行加密，生成加密文件ciphertext.bin，并使用密码mypassword。
openssl enc -aes - 256 - cbc - in plaintext.txt -out ciphertext.bin -k mypassword
若要解密，执行：
openssl enc -d -aes - 256 - cbc - in ciphertext.bin -out decrypted.txt -k mypassword
-d参数表示解密操作。
2、 非对称加密：生成一对 RSA 密钥对，公钥为public.pem，私钥为private.pem：
openssl genpkey -algorithm RSA -out private.pem -pkeyopt rsa_keygen_bits:2048
openssl rsa -in private.pem -pubout -out public.pem
使用公钥对文件message.txt进行加密，生成加密文件encrypted.bin：
openssl pkeyutl -encrypt -in message.txt -out encrypted.bin -inkey public.pem -pubin
使用私钥解密：
openssl pkeyutl -decrypt -in encrypted.bin -out decrypted.txt -inkey private.pem

密钥生成

1、 生成随机密钥：生成一个 16 字节（128 位）的随机密钥，可用于对称加密等场景：
openssl rand -hex 16
该命令将输出一个 32 字符的十六进制字符串，即生成的随机密钥。
2、 生成 Diffie - Hellman 参数：在密钥交换协议中，Diffie - Hellman 参数用于生成共享密钥。生成 2048 位的 Diffie - Hellman 参数文件dhparams.pem：
openssl dhparam -out dhparams.pem -2 2048
-2指定使用 2 为底数。
OpenSSL 命令在网络安全领域应用广泛，无论是搭建安全的 Web 服务器、加密敏感数据传输，还是进行安全测试，都离不开它。熟练掌握 openssl 命令，能有效提升系统和应用的安全性。

拓展阅读：

1、 SSL/TLS 协议基础：SSL/TLS 是保障网络通信安全的关键协议，理解其握手过程、加密机制等基础知识，有助于更好地使用 OpenSSL 命令。例如，了解握手过程中如何协商加密算法、交换密钥，能明白 OpenSSL 证书管理和密钥生成操作的实际意义。
2、 OpenSSL 配置文件：OpenSSL 有配置文件（如openssl.cnf），可对其默认行为进行定制。如修改证书生成时的默认国家、组织等信息，通过配置文件可简化操作流程，提高效率。
3、 安全的密钥管理：妥善管理生成的密钥至关重要。包括密钥的存储位置、访问权限设置等。例如，私钥应存储在安全的、权限严格控制的目录中，防止泄露，确保加密和解密操作的安全性。