openssl证书请求和自签名命令req详解

1、密钥、证书请求、证书概要说明

在证书申请签发过程中，客户端涉及到密钥、证书请求、证书这⼏个概念，初学者可能会搞不清楚三者的关系，⽹上有的根据后缀名来区分三者，更让⼈⼀头雾⽔。我们以申请证书的流程说明三者的关系。客户端（相对于CA）在申请证书的时候，⼤体上有三个步骤：

第⼀步：⽣成客户端的密钥，即客户端的公私钥对，且要保证私钥只有客户端⾃⼰拥有。

第⼆步：以客户端的密钥和客户端⾃⾝的信息(国家、机构、域名、邮箱等)为输⼊，⽣成证书请求⽂件。其中客户端的公钥和客户端信息是明⽂保存在证书请求⽂件中的，⽽客户端私钥的作⽤是对客户端公钥及客户端信息做签名，⾃⾝是不包含在证第三步：CA机构接收到客户端的证书请求⽂件后，⾸先校验其签名，然后审核客户端的信息，最后CA机构使⽤⾃⼰的私钥为证书请求⽂件签名，⽣成证书⽂件，下发给客户端。此证书就是客户端的⾝份证，来表明⽤户的⾝份。

⾄此客户端申请证书流程结束，其中涉及到证书签发机构CA，CA是被绝对信任的机构。如果把客户端证书⽐作⽤户⾝份证，那么CA就是颁发⾝份证的机构，我们以https为例说明证书的⽤处。

为了数据传输安全，越来越多的⽹站启⽤https。在https握⼿阶段，服务器⾸先把⾃⼰的证书发送给⽤户(浏览器)，浏览器查看证书中的发证机构，然后在机器内置的证书中（在PC或者⼿机上，内置了世界上著名的CA机构的证书）查找对应CA证书，然后使⽤内置的证书公钥校验服务器的证书真伪。如果校验失败，浏览器会提⽰服务器证书有问题，询问⽤户是否继续。

例如12306⽹站，它使⽤的⾃签名的证书，所以浏览器会提⽰证书有问题，在12306的⽹站上有提⽰下载安装根证书，其⽤户就是把⾃⼰的根证书安装到⽤户机器的内置证书中，这样浏览器就不会报证书错误。但是注意，除⾮特别相信某个机构，否则不要在机器上随便导⼊证书，很危险。

2、req指令说明

上⼀节我们看到了申请证书流程，⽣成密钥对我们已经知道，那么如何⽣成证书请求呢，req指令就该上场了，我们可以查看req的man⼿册，如下

openssl req [-inform PEM|DER] [-outform PEM|DER] [-in filename] [-passin arg] [-out filename] [-passout arg] [-text] [-pubkey] [-noout] [-verify] [-modulus] [-new] [-rand file(s)] [-newkey rsa:bits][-newkey alg:file] [-nodes] [-key filename] [-keyform

发现其参数多⽽复杂，还有许多没有⽤到过的参数。但是在实际应⽤中我们使⽤到的参数很有限，我们根据req的基本功能来学习。req的基本功能主要有两个：⽣成证书请求和⽣成⾃签名证书。其他还有⼀些校验、查看请求⽂件等功能，⽰例会简单说明下。参数说明如下[new/x509]

当使⽤-new选取的时候，说明是要⽣成证书请求，当使⽤x509选项的时候，说明是要⽣成⾃签名证书。[/key/newkey/keyout]

key和newkey是互斥的，key是指定已有的密钥⽂件，⽽newkey是指在⽣成证书请求或者⾃签名证书的时候⾃动⽣成密钥，然后⽣成的密钥名称有keyout参数指定。当指定newkey选项时，后⾯指定rsa:bits说明产⽣rsa密钥，位数由bits指定。指定dsa:file说明产⽣dsa密钥，file是指⽣成dsa密钥的参数⽂件(由dsaparam⽣成)[in/out/inform/outform/keyform]

in选项指定证书请求⽂件，当查看证书请求内容或者⽣成⾃签名证书的时候使⽤

out选项指定证书请求或者⾃签名证书⽂件名，或者公钥⽂件名(当使⽤pubkey选项时⽤到)，以及其他⼀些输出信息。inform、outform、keyform分别指定了in、out、key选项指定的⽂件格式，默认是PEM格式。[config]

参数⽂件，默认是/etc/ssl/openssl.cnf(ubuntu12.04)，根据系统不同位置不同。该⽂件包含⽣成req时的参数，当在命令⾏没有指定时，则采⽤该⽂件中的默认值。除上述主要参数外，还有许多其他的参数，不在⼀⼀叙述，有兴趣的读者可以查看req的man⼿册

3、req指令使⽤实例

1、使⽤已有私钥⽣成证书请求

/*使⽤原有的RSA密钥⽣成证书请求⽂件，输⼊主体相关信息*/

xlzh@cmos:~/test$ openssl req -new -key RSA.pem -passin pass:123456 -out client.pemYou are about to be asked to enter information that will be incorporatedinto your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:AU

State or Province Name (full name) [Some-State]:BJLocality Name (eg, city) []:BJ

Organization Name (eg, company) [Internet Widgits Pty Ltd]:BJOrganizational Unit Name (eg, section) []:BJ

Common Name (e.g. server FQDN or YOUR name) []:BJEmail Address []:BJ

Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:12345An optional company name []:BJ

/*使⽤原有的RSA密钥⽣成证书请求⽂件，指定-batch选项，主体信息从配置⽂件读取*/

xlzh@cmos:~/test$ openssl req -new -key RSA.pem -passin pass:123456 -out client.pem -batch/*使⽤原有的RSA密钥⽣成证书请求⽂件，指定-batch选项，主体信息由命令⾏subj指定*/

xlzh@cmos:~/test$ openssl req -new -key RSA.pem -passin pass:123456 -out client.pem -subj /C=AU/ST=Some-State/O=Internet/*使⽤原有的RSA密钥⽣成证书请求⽂件，指定-batch选项，主体信息由命令⾏subj指定，且输出公钥*/

xlzh@cmos:~/test$ openssl req -new -key RSA.pem -passin pass:123456 -out client.pem -subj /C=AU/ST=Some-State/O=Internet -pubkey/*可以看到公钥和请求信息*/

xlzh@cmos:~/test$ cat client.pem -----BEGIN PUBLIC KEY-----MFwwDQYJKoZIhvcNAQEBBQADSwAwSAJBAL6e+hk0TAsYlPk5XB1tLCtCO8wQ7JMMYQ9SMy4Q1liPg4TdgSkdfbLB2UXmzzMCp+ZBDk9txwtewqv7PVcvY0MCAwEAAQ==-----END PUBLIC KEY----------BEGIN CERTIFICATE REQUEST-----MIIBGDCBwwIBADA1MQswCQYDVQQGEwJBVTETMBEGA1UECAwKU29tZS1TdGF0ZTERMA8GA1UECgwISW50ZXJuZXQwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAvp76GTRMCxiU+TlcHW0sK0I7zBDskwxhD1IzLhDWWI+DhN2BKR19ssHZRebPMwKn5kEOT23HC17Cq/s9Vy9jQwIDAQABoCkwJwYJKoZIhvcNAQkOMRowGDAJBgNVHRMEAjAAMAsGA1UdDwQEAwIF4DANBgkqhkiG9w0BAQUFAANBAFBiB0fTUwTSoFeQdTWIr3KXzDHPbgLy1/nlJ71dYLfGGrR61RKmrXgpf76akURtF+gEXwLMfPO6FQlaIOYEe/c=-----END CERTIFICATE REQUEST-----xlzh@cmos:~/test$

2、⾃动⽣成密钥，⽣成证书请求⽂件

/*⾃动1024位RSA密钥，并⽣成证书请求⽂件*/

xlzh@cmos:~/test$ openssl req -new -newkey rsa:1024 -out client.pem -keyout RSA.pem -batchGenerating a 1024 bit RSA private key.......................................++++++...............................++++++

writing new private key to 'RSA.pem'Enter PEM pass phrase:

Verifying - Enter PEM pass phrase:-----/*⾃动1024位RSA密钥，并⽣成证书请求⽂件，指定-nodes⽂件，密钥⽂件不加密*/

xlzh@cmos:~/test$ openssl req -new -newkey rsa:1024 -out client.pem -keyout RSA.pem -batch -nodesGenerating a 1024 bit RSA private key..++++++

.........................++++++

writing new private key to 'RSA.pem'-----/*⽣成1024位DSA密钥参数*/

xlzh@cmos:~/test$ openssl dsaparam -out DSA.param 1024Generating DSA parameters, 1024 bit long primeThis could take some time

...+.+..+.+++++++++++++++++++++++++++++++++++++++++++++++++++*

................+...........+......+.+.............+.+.....+.+++++++++++++++++++++++++++++++++++++++++++++++++++*/*⾃动1024位DSA密钥，并⽣成证书请求⽂件，指定-nodes⽂件，密钥⽂件不加密*/

xlzh@cmos:~/test$ openssl req -new -newkey dsa:DSA.param -out client.pem -keyout DSA.pem -batch -nodesGenerating a 1024 bit DSA private keywriting new private key to 'DSA.pem'-----

3、⽣成⾃签名证书

/*⽣成⾃签名证书，与req参数⼀样，只需要把req修改为x509即可*/

xlzh@cmos:~/test$ openssl req -x509 -newkey rsa:1024 -out client.cer -keyout RSA.pem -batch -nodesGenerating a 1024 bit RSA private key.........++++++..++++++

writing new private key to 'RSA.pem'-----/*查看证书⽂件*/

xlzh@cmos:~/test$ openssl x509 -in client.cer -noout -textCertificate: Data:

Version: 3 (0x2) .....

Signature Algorithm: sha1WithRSAEncryption

5b:d7:f5:fd:18:3a:a9:22:2a:d9:f1:fc:00:3a:cf:23:ff:d1: 82:e5:2d:3f:7e:97:a8:38:32:e6:88:7a:ce:9f:31:cc:ea:60: 06:d1:96:bb:c8:42:ec:ef:26:73:4e:3b:2d:fa:0f:16:c2:25: 30:1b:a5:ca:35:bd:9b:dd:4b:41:d4:8b:95:3a:d4:7c:aa:8d: 0d:2d:e7:f3:95:33:d2:4a:5a:7f:a2:5d:cc:48:60:9f:ca:2d: 77:d9:ed:e9:09:f3:a1:18:96:1d:91:c6:1c:2b:7a:c1:d6:5d: 81:87:25:0d:32:6a:55:d2::95:c5:32:44:cc:9d:e7:68:6f: d8:80

xlzh@cmos:~/test$

4、查看证书请求内容

/*⽣成证书请求*/

xlzh@cmos:~/test$ openssl req -new -newkey rsa:1024 -out client.req -keyout RSA.pem -batch -nodesGenerating a 1024 bit RSA private key

...............................................................++++++......................++++++

writing new private key to 'RSA.pem'-----/*查看证书请求内容，subject指定输出主体*/

xlzh@cmos:~/test$ openssl req -in client.req -noout -text -subjectCertificate Request: Data:

Version: 0 (0x0)

Subject: C=AU, ST=Some-State, O=Internet Widgits Pty Ltd Subject Public Key Info:

Public Key Algorithm: rsaEncryption Public-Key: (1024 bit) Modulus: ...

Exponent: 65537 (0x10001) Attributes:

Requested Extensions:

X509v3 Basic Constraints: CA:FALSE

X509v3 Key Usage:

Digital Signature, Non Repudiation, Key Encipherment Signature Algorithm: sha1WithRSAEncryption...

subject=/C=AU/ST=Some-State/O=Internet Widgits Pty Ltd

5、校验证书请求⽂件

/*指定verify指令，校验证书请求⽂件，其操作时提取请求⽂件中的公钥来验证签名信息*/xlzh@cmos:~/test$ openssl req -verify -in client.req -nooutverify OK

xlzh@cmos:~/test$

4、⼩结

req命令参数纷繁多杂，上⽂中没有完全介绍，⽽且还涉及到openssl.cnf配置⽂件的内容，是⼀个复杂⽽强⼤的指令。

为了⽅便记忆，不妨就记住它了两个主要功能：⽣成证书请求⽂件和⽣成⾃签名证书，对⽐上述的主要参数定义，⾜可以应付⼤多数场景。