分类: 未分类

  • 国内主要IPv6前缀

    • 2409开头的

      2409:6000::/20 吉利 2020-10-22
      2409:8000::/20 中国移动 2011-08-23
      2409:2000::/21 华为 2020-07-20

    • 2408开头的

      2408:4000::/22 阿里巴巴 2015-12-21
      2408:8000::/22 中国联通 2011-07-07
      2408:8400::/22 中国联通 2012-05-31
      2408:8800::/21 中国联通 2012-05-31
      这3个段是分3次申请的,可以合并为2408:8000::/20

    • 240a开头的

      240a:2000::/24 北京光环新网 2020-11-03
      240a:4000::/21 广电 2017-12-29
      240a:6000::/24 水利部 2021-01-14
      240a:8000::/21 铁通 2013-01-30 现为中国移动所有
      240a:a000::/20 未来互联网试验设施,简称FITI 2021-04-01
      240a:c000::/20 中国石油 2018-08-20

    • 240e开头的

      240e::/24 中国电信 2010-05-20
      240e:100::/24 中国电信 2011-12-14
      240e:200::/23 中国电信 2011-12-14
      240e:400::/22 中国电信 2011-12-14
      240e:800::/21 中国电信 2011-12-14
      240e:1000::/20 中国电信 2018-12-27
      240e:2000::/19 中国电信 2018-12-27
      以上几个段聚合为240e::/18

    • 其它

      240c:c000::/20 教育网 CERNET2 2019-01-29 AS23910
      240b:6000::/20 字节跳动 2022-10-20
      240b:2000::/22 国家石油天然气管网集团有限公司 2021-11-24
      240b:8000::/21 电子政务网 2013-08-16
      240c:8000::/21 中国石油 2014-09-05
      240d:4000::/21 赛尔网络下一代互联网商用网 2019-02-03 AS133111,其实就是教育网推出的商业网络
      240c:4000::/22 百度 2018-11-13
      240d:8000::/24 北京国科云计算技术有限公司 2015-02-05
      240f:4000::/24 腾讯 2019-07-09
      240f:8000::/24 AMAZON-CN 2015-04-27
      240f:c000::/24 京东 2019-09-17
      2001:4510::/29 长城互联网 2005-08-15
      240c:c000::/20 CERNET2 2019-01-29
      2001:da8::/32 CNGI-CERNET2 2003-11-10
      2001:250::/32 CERNET2主干网 2000-04-26 – 2002-07-26

    • APNIC持有的所有IPv6前缀

      2001:B000::/20
      2001:4400::/23
      2001:0200:/23
      2001:0C00:/23
      2001:0E00:/23
      2001:07FA:/32
      2001:8000::/23
      2001:8200::/23
      2001:8400::/23
      2001:8600::/23
      2001:8800::/23
      2001:8A00::/23
      2001:8C00::/23
      2001:8E00::/23
      2001:9000::/23
      2001:9200::/23
      2001:9400::/23
      2001:9600::/23
      2001:9800::/23
      2001:9A00::/23
      2001:9C00::/23
      2001:9E00::/23
      2001:A000::/23
      2001:A200::/23
      2001:A400::/23
      2001:A600::/23
      2001:A800::/23
      2001:AA00::/23
      2001:AC00::/23
      2001:AE00::/23
      2400:0000::/12
      由此可见亚太地址的前缀主要是2400开头的,少部分是2001开头的,因为2001段的地址数太少,所以使用2001前缀的主要是企业和一些早期的实验网。
      参考:
      https://stat.ripe.net/app/launchpad
      https://ispip.clang.cn/all_cn_ipv6.html
      https://blog.csdn.net/jayjaydream/article/details/123528274

    Views: 47

  • ppa.launchpad.net下载速度慢

    /etc/apt/sources.list.d下找到对应ppa源的配置,把其中的ppa.launchpad.net替换为launchpad.proxy.ustclug.org

    Views: 0

  • openssl集成pkcs#11加密engine

    /etc/ssl/openssl.cnf添加以下配置

    [openssl_init]
    providers = provider_sect
    # Load default TLS policy configuration
    ssl_conf = ssl_module
    alg_section = evp_properties
    pkcs11 = pkcs11_section
    
    [pkcs11_section]
    engine_id = pkcs11
    dynamic_path = /usr/lib64/engines-3/pkcs11.so
    MODULE_PATH = /usr/lib64/opensc-pkcs11.so
    init = 0
    

    编译libp11

    git clone https://github.com/OpenSC/libp11
    cd libp11
    autoreconf -fi
    ./configure --prefix=/usr
    make && make install
    ln -sf /usr/lib64/engines-3/libpkcs11.so /usr/lib64/libpkcs11.so
    

    ubuntu上libp11叫libengine-pkcs11-openssl

    执行openssl engine pkcs11 -t后显示以下内容就对了

    (pkcs11) pkcs11 engine
    [ available ]

    但是我执行这个命令的时候70%的概率会报

    /lib64/libpkcs11.so: undefined symbol: OPENSSL_finish

    不过我用pkcs11生成证书时一直报错

    openssl req -engine pkcs11 -new -keyform engine -key ‘pkcs11:model=PKCS%2315;manufacturer=EnterSafe;serial=2c692c97000a0025;token=OpenSC%20Card;id=%45;object=id_4’ -keyform engine -x509 -out cert.pem -text

    Engine “pkcs11” set.
    PKCS#11: Initializing the engine: (null)
    Unable to load module (null)
    PKCS11_get_private_key returned NULL
    Could not find private key from org.openssl.engine:pkcs11:pkcs11:model=PKCS%2315;manufacturer=EnterSafe;serial=2c692c97000a0025;token=OpenSC%20Card;id=%45;object=id_4
    00CE51640C7F0000:error:41000401:libp11:ERR_P11_error:Unable to load PKCS#11 module:p11_load.c:103:
    00CE51640C7F0000:error:40800067:pkcs11 engine:ERR_ENG_error:invalid parameter:eng_back.c:730:
    00CE51640C7F0000:error:13000080:engine routines:ENGINE_load_private_key:failed loading private key:crypto/engine/eng_pkey.c:79:

    Views: 4

  • 智能卡相关术语

    smard card和hsm(hardware security module)本质上一种东西,只是不同的行业叫法不一样。都是通过芯片卡或集成电路提供安全功能。

    相关名词:

    • PKCS#11

      也叫作Cryptoki,是RSA实验室最初发布,现已为OASIS标准。它定义了智能卡与应用程序之间的编程接口。PKCS#11主要在Linux上使用的比较多。

    • CAPI和CNG

      Cryptographic Application Programming Interface也叫作CryptoAPI,Microsoft Cryptography API, MS-CAPI。由Windows NT 4.0引入,作为Cryptographic Service Provider的编程接口。
      CNG的全称是Cryptography API: Next Generation,是由Windows Vista中引入,作为CAPI的升级,在CNG中把provider分为了Key storage provider和Cryptographic Algorithm Providers,前者进行密钥创建,存储及签名,后者提供加密算法。CNG提供了ECC等现代算法的支持,还支持硬件加密模块(HSM,Smard Card)。

    • Cryptographic Service Provider(CSP)/Key storage provider(KSP)/Cryptographic Algorithm Providers(CAP)

      Cryptographic Service Provider是CAPI的实现库,同时提供密钥管理和加解密功能,不支持ECC算法。
      Key storage provider(KSP)为CNG提供密创建和存储功能,默认情况下导入的私钥会保存在Microsoft Software Key Storage Provider中,如果需要指定KSP,则要用certutil命令。
      Cryptographic Algorithm Providers(CAP)为CNG提供加密解功能

      关于CSP/KSP参考:https://www.gradenegger.eu/en/basics-cryptographic-service-provider-csp-and-key-storage-provider-ksp/

    • Microsoft Base Smart Card Cryptographic Service Provider

      这是一个基于CAPI接口的CSP,所以同样不支持ECC算法,用于与Smard Card/HSM交互,它提供了相当于PKCS#11的功能。
      示意图

    • miniDriver

      Microsoft Base Smart Card Cryptographic Service Provider通过miniDriver与Smard Card进行交互,把来自Microsoft Base Smart Card Cryptographic Service Provider的请求转发给Smard Card。
      Smard Card也可以直接实现CSP,KSP,CAP,而不是通过Microsoft Base Smart Card Cryptographic Service Provider中转请求,但是这样对硬件厂商来说会增加成本。miniDriver是为了降低硬件厂商开发CSP的成本。

    • PC/SC (short for Personal Computer/Smart Card)

      是智能卡读卡器与计算机通迅的语义接口,最早为Windows上实现,后来Linux和MacOS也提供了对应的实现。
      WinSCard智能卡函数

    • CCID/ICCD

      CCID (chip card interface device)是芯片卡设备,用于USB读卡器
      ICCD (Integrated Circuit(s) Card Devices),俗称IC卡,用于USB读卡器
      这两种卡都可以通过PC/SC协议通迅

    • FIPS 140

      美国联邦信息处理标准FIPS(Federal Information Processing Standard)是一种针对密码算法模块的安全标准,通过部署FIPS功能,能够提升设备的安全性能。
      FIPS是由美国国家标准和技术研究院制定,由美国商务部批准的针对密码算法安全的标准,它规定了一个安全系统中的密码算法模块应该满足的安全性要求。FIPS 140是FIPS系列标准中针对密码算法模块的安全标准,是进行密码算法模块评测认证的基础标准,共分Level1, Level2, Level3三个等级。
      FIPS 140–2表示的就是FIPS 140 Level 2

    • FIDO(U2F,UAF)

      U2F(Universal 2nd Factor)和UAF(Universal Authentication Framework)是FIDO开发的第一代身份验证标准。
      U2F提供双因素身份验证,但不支持生物识别和无密码认证,主要用于银行。
      UAF提供无密码认证和生物认证

    • FIDO2

      FIDO2是FIDO开发的第二代身份验证标准,是对FIDO(U2F,UAF)的扩展,可以支持单因素和多因素身份验证,也支持无密码和生物识别。FIDO2由WebAuthn和CTAP组成,支持Web应用和本地应用的无密码和多因素身份验证。

    • OTP,HOTP,TOTP

      OTP 是 One-Time Password的简写,表示一次性密码。
      HOTP 是HMAC-based One-Time Password的简写,表示基于HMAC算法加密的一次性密码。
      TOTP 是Time-based One-Time Password的简写,表示基于时间戳算法的一次性密码。
      Yubico OTP,可以在每次触摸yubikey按钮时从键盘键盘一串密码
      Yubico Authenticator可以支持HOTP,TOTP,并与yubikey集成。其实就是提供硬件支持的Gooogle Authenticator,需要在手机或电脑上下载Yubico Authenticator应用。

    • PIV(Personal Identity Verification)

      PIV的规范由FIPS 201定义(2005年),主要用于智能卡身份认证,比如这种门禁卡门禁卡
      当用于Windows登录时则需要提供对应的智能卡CSP,在Linux上用于登录时需要提供PKCS#11接口。

    • OpenPGP

      是一个加密标准,主要用于签名和加密文件,也可以用于签名和加密电子邮件,在Linux上广泛使用。
      OpenPGP也支持使用使用智能卡进行加密,称为OpenPGP card,使用ISO/IEC 7816标准,但是OpenPGP Card只实现了ISO/IEC 7816-4/-8的子集,比PIV卡定义的还要早,一般长这样
      OpenPGP card
      SIM卡
      当然使用的时候是需要读卡器的。

    • OpenSSH

      ssh命令可以通过-I选项指定PKCS#11库来支持智能卡加密,使用PKCS#11时需要使用证书认证。

    Views: 1

  • openssl req生成证书

    • 生成自签名CA证书

      openssl req -x509 -newkey rsa:2048 -keyout ca-key.pem -out ca.pem -noenc

    • 生成证书请求

      openssl req -newkey rsa:2048 -keyout key.pem -out req.pem -noenc

    • 签名证书

      openssl req -x509 -CA ca.pem -CAkey ca-key.pem -in req.pem -copy_extensions copy -out c.pem

    Views: 0

  • OpenSSL FAQ

    • openssl req命令中-key 和 -keyout一起使用时keyout的内容

      keyout的内容与key的输入是一样的

    • openssl req命令中x509v1选项何时生效

      如果使用了扩展则一定会使用V3版本(也就是使用扩展时该选项不生效)。根据我测试的情况openssl3.2以上版本才有此选项,如果想使该选项生效需要指定extensions为空的openssl配置文件(默认配置是有extensions的)

    • openssl x509命令中-extfile选项指定的文件需要指定section name吗

      不需要,会从default section中读取扩展配置

    • copy_extensions选项copy和copyall选项的区别

      copyall会覆盖ca上的现有扩展配置,copy不会

    Views: 0

  • nexus报Nexus was not configured with an encryption key and is using the Default key

    • 创建一个json文件

      data/nexus-key.json

      {
        "active": "my-key",
        "keys": [
          {
            "id": "my-key",
            "key": "some-secret-key"
          }
        ]
      }
      

      把上面的id和key改成自己的

    • 修改nexus的docker-compose.yaml配置

        nexus:
          image: sonatype/nexus3
          restart: always
          volumes:
            - ./data/nexus:/nexus-data
            - ./data/nexus-deploy:/opt/sonatype/nexus/deploy
            - ./data/nexus-key.json:/opt/nexus-key.json
          environment:
            - "NEXUS_SECRETS_KEY_FILE=/opt/nexus-key.json"
      

      执行docker compose up -d

    • 修改生成的key

      打开System > API > Security Management: Secrets Encryption
      点击Try it out,body中输入以下内容

      {
        "secretKeyId": "my-key"
      }
      

      secretKeyId修改为自己的
      最后点击Execute
      也可以直接调用curl命令

      curl -X 'PUT' \
        'https://<your-instance-url>/service/rest/v1/secrets/encryption/re-encrypt' \
        -H 'accept: application/json' \
        -H 'Content-Type: application/json' \
        -H 'NX-ANTI-CSRF-TOKEN: <any-token>' \
        -H 'X-Nexus-UI: true' \
        -d '{
        "secretKeyId": "string",
        "notifyEmail": "string"
      }'
      

    参考:
    https://help.sonatype.com/en/re-encryption-in-nexus-repository.html

    Views: 3

  • powerdns recursor 配置文件转换到yaml格式

    rec_control show-yaml > recursor.yaml
    或者
    rec_control show-yaml path/to/recursor.conf > recursor.yaml

    从recursor5.2开始默认读取yaml格式的配置而不是conf格式。

    Views: 2

  • mysql清除binlog日志压缩磁盘空间

    RESET BINARY LOGS AND GTIDS;
    SHOW BINARY LOGS;
    

    Views: 0

  • openssl-x509

    openssl-x509

    名字

    openssl-x509 – Certificate display and signing command

    概述

    openssl x509 [-help] [-in filename|uri] [-passin arg] [-new] [-x509toreq] [-req] [-copy_extensions arg] [-inform DER|PEM] [-vfyopt nm:v] [-key filename|uri] [-keyform DER|PEM|P12|ENGINE] [-signkey filename|uri] [-out filename] [-outform DER|PEM] [-nocert] [-noout] [-dateopt] [-text] [-certopt option] [-fingerprint] [-alias] [-serial] [-startdate] [-enddate] [-dates] [-subject] [-issuer] [-nameopt option] [-email] [-hash] [-subject_hash] [-subject_hash_old] [-issuer_hash] [-issuer_hash_old] [-ext extensions] [-ocspid] [-ocsp_uri] [-purpose] [-pubkey] [-modulus] [-checkend num] [-checkhost host] [-checkemail host] [-checkip ipaddr] [-set_serial n] [-next_serial] [-not_before date] [-not_after date] [-days arg] [-preserve_dates] [-set_issuer arg] [-set_subject arg] [-subj arg] [-force_pubkey filename] [-clrext] [-extfile filename] [-extensions section] [-sigopt nm:v] [-badsig] [-digest] [-CA filename|uri] [-CAform DER|PEM|P12] [-CAkey filename|uri] [-CAkeyform DER|PEM|P12|ENGINE] [-CAserial filename] [-CAcreateserial] [-trustout] [-setalias arg] [-clrtrust] [-addtrust arg] [-clrreject] [-addreject arg] [-rand files] [-writerand file] [-engine id] [-provider name] [-provider-path path] [-propquery propq]
    

    描述

    此命令是一个多用途证书处理命令。它可用于打印证书信息、将证书转换为各种形式、编辑证书信任设置、从头开始或从证书请求生成证书,然后自行签名或像“micro CA”一样签名。
    生成的证书带有 X.509 version 3扩展。除非另有说明,否则密钥标识符扩展将包含。
    由于有大量选项,它们将分为不同的部分。

    命令选项

    Input, Output, and General Purpose Options

    输入,输出和通用选项

    • -help

      帮助

    • -in filename

      输入证书或请书请求(-req指定时)文件的位置,默认为std input。不能与-new选项一起使用

    • -passin arg

      读取证书或密钥文件的密码

    • -new

      从头创建证书,不使用-in读取证书或证书请求,所以不能与-in和-req选项共存。-set_subject option是必须的(subject代表公钥所属的实体),通过-force_pubkey指定公钥(此时是对这个公钥签名)。默认是自签名(自己的公钥)且使用-key (or -signkey)提供的私钥。

    • -x509toreq

      生成证书请求而不是证书,自签名时必须指定 -key (or -signkey) option用于提供自签名私钥,对应的公钥会保存在subjectPKInfo字段。
      默认情况下,不会复制输入证书中包含的 X.509 扩展。可以使用 -extfile 选项指定要添加的 X.509 扩展。

    • -req

      默认情况下,输入时需要证书。使用此选项则需要 PKCS#10 证书请求,该请求必须正确自签名(防止篡改)。
      默认情况下,不会复制请求中包含的 X.509 扩展。可以使用 -extfile 选项指定要添加的 X.509 扩展。

    • -copy_extensions arg

      当使用-x509toreq证书转请求或-req请求转证书时确定复制X.509扩展的方式。arg为none时忽略所有扩展,为copy或copyall时复制所有扩展,还可以通过-ext选项进一步控制要复制哪些扩展。

    • -inform DER|PEM

      输入的csr文件格式,默认首先尝试pem格式

    • -vfyopt nm:v

      验证签名时指定签名算法的选项,不同的签名算法选项也不同

    • -key filename|uri

      此选项提供用于签署新证书或证书请求的私钥。除非提供 -force_pubkey,否则该私钥对应的公钥将放在新证书或证书请求中,从而产生自签名。
      此选项不能与 -CA 选项一起使用。
      把issuer name设置为subject name(即使是自签名)。除非提供 -preserve_dates 选项,否则它将有效期开始日期设置为当前时间,并将结束日期设置为由 -days 选项确定的值。开始日期和结束日期也可以通过选项 -not_before 和 -not_after 明确提供。

    • -signkey filename|uri

      这个选项是-key的别名

    • -keyform DER|PEM|P12|ENGINE

      读取key的格式

    • -out filename

      输出文件位置,不指定时输出到终端

    • -outform DER|PEM

      输出文件格式,默认PEM

    • -nocert

      不打印证书,其余部分按下面选项指定的内容打印

    • -noout

      只打印下面选项指定的内容

    Certificate Printing Options

    证书打印选项
    注意:-alias 和 -purpose 选项也是打印选项,但在“Trust Settings”部分中描述。

    • -dateopt

      指定日期输出格式。值为:rfc_822 和 iso_8601。默认为 rfc_822。

    • -text

      以文本形式打印出证书。打印的完整详细信息包括public key, signature algorithms, issuer and subject DN名称, serial number, 任意 extensions以​​及任何trust settings。

    • -certopt option

      为-text自定议打印格式,多个选项可以指定多次也可以用豆号分隔,具体语法参考”Text Printing Flags

    • -fingerprint

      计算和打印证书(DER编码)的指纹,每个证书的指纹是唯一的

    • -alias

      打印证书的alias(nickname),如果有的话。

    • -serial

      打印证书序列号

    • -startdate

      打印证书生效起始日期

    • -enddate

      打印证书失效日期

    • -dates

      打印证书的起始和失效日期

    • -subject

      Prints the subject name.

    • -issuer

      Prints the issuer name.

    • -nameopt option

      指定subject or issuer names 的显示方式. 参考:openssl-namedisplay-options for details.

    • -email

      Prints the email address(es) if any.

    • -hash

      同-subject_hash

    • -subject_hash

      打印subject name的hash,用于生成索引在目录中通过subject name查找证书。

    • -subject_hash_old

      打印subject name的hash,使用OpenSSL 1.0中的旧hash算法

    • -issuer_hash

      Prints the “hash” of the certificate issuer name.

    • -issuer_hash_old

      Prints the “hash” of the certificate issuer name using the older algorithm as used by OpenSSL before version 1.0.0.

    • -ext extensions

      以文本形式打印出证书扩展。也可用于限制要复制的扩展。扩展用逗号分隔的字符串指定,例如“subjectAltName, subjectKeyIdentifier”。请参阅 x509v3_config .

    • -ocspid

      打印subject name 和 public key 的 OSCP hash.

    • -ocsp_uri

      Prints the OCSP responder address(es) if any.

    • -purpose

      对证书扩展执行测试并输出结果. For a more complete description see “Certificate Extensions” in openssl-verification-options.

    • -pubkey

      Prints the certificate’s SubjectPublicKeyInfo block in PEM format.

    • -modulus

      This option prints out the value of the modulus of the public key contained in the certificate.

    Certificate Checking Options

    • -checkend arg

      检查如果证书在未来arg秒钟内过期返回非0值,否者返回0值。

    • -checkhost host

      Check that the certificate matches the specified host.

    • -checkemail email

      Check that the certificate matches the specified email address.

    • -checkip ipaddr

      Check that the certificate matches the specified IP address.

    Certificate Output Options

    • -set_serial n

      指定证书序列号
      Specifies the serial number to use. This option can be used with the -key, -signkey, or -CA options. If used in conjunction with the -CA option the serial number file (as specified by the -CAserial option) is not used.

      The serial number can be decimal or hex (if preceded by 0x).

    • -next_serial

      当前证书序列号加1
      Set the serial to be one more than the number in the certificate.

    • -not_before date

      指定证书生效起始日期
      证书生效的起始日期。格式是YYMMDDHHMMSSZYYYYMMDDHHMMSSZ,秒SS和时区Z是必须存在的,可以指定today

      Cannot be used together with the -preserve_dates option.

    • -not_after date

      指定证书过期时间
      证书生效的起始日期。格式是YYMMDDHHMMSSZYYYYMMDDHHMMSSZ,秒SS和时区Z是必须存在的,可以指定today

      Cannot be used together with the -preserve_dates option. This overrides the option -days.

    • -days arg

      指定证书从现在起算有效天数,默认为30。
      不能与选项 -preserve_dates 一起使用。如果设置了选项 -not_after,则明确的到期日期优先。

    • -preserve_dates

      签署证书时,保留任何输入证书的“notBefore”和“notAfter”日期,而不是将其调整为当前时间和持续时间。不能与选项 -days、-not_before 和 -not_after 一起使用。

    • -set_issuer arg

      创建证书时指定issuer的DN名,具体格式参考-set_subject

    • -set_subject arg

      创建证书时指定主题的DN,arg的格式为/type0=value0/type1=value1/type2=...
      特殊字符用\转义,允许使用空格,单个/指定空的DN,可以用+代表/作为两个RDN之间的分隔符,例如/DC=org/DC=OpenSSL/DC=users/UID=123456+CN=John Doe,/C=CN/ST=Shanghai/L=Shanghai/CN=hetao/emailAddress=tao@hetao.me/
      This option can be used with the -new and -force_pubkey options to create a new certificate without providing an input certificate or certificate request.

    • -subj arg

      This option is an alias of -set_subject.

    • -force_pubkey filename

      创建证书时使用指定证书的公钥,而不是输入证书或请求中以及-key选项指定的公钥(与私钥对应)。
      如果filename是一个私钥文件则使用其公钥部分。
      与 -new and -set_subject 一起使用可以直接生成包含指定公钥和subject的证书.
      This option is also useful for creating self-issued certificates that are not self-signed, for instance when the key cannot be used for signing, such as DH.

    • -clrext

      默认情况下,将证书转换为新证书时,所有证书扩展都会保留。
      转换证书或证书请求时,-clrext 选项会阻止从源接管任何扩展。无论如何,在生成证书请求时,都不会接管主体标识符或授权密钥标识符扩展。

    • -extfile filename

      在创建证书或请求时filename指定要添加的X.509扩展,

    • -extensions section

      为-extfile指定section名称,如果没有指定则直接从default section查看,也会从default section中的extensions变量指定的section中查找。
      See the x509v3_config(5) manual page for details of the extension section format.
      Unless specified otherwise, key identifier extensions are included as described in x509v3_config(5).

    • -sigopt nm:v

      签名算法的选项,可以多次使用,不同算法有不同的选项

    • -badsig

      写入一个无效签名,用于测试

    • -digest

      要使用的digest算法。这会影响使用消息摘要的任何签名或打印选项,例如 -fingerprint、-key 和 -CA 选项。可以使用 openssl-dgst(1) 命令支持的任何摘要。如果未指定,对于-fingerprint选项则使用 SHA1,对于签名算法的通常为 SHA256。

    Micro-CA Options

    微型CA(模拟一个小型CA服务器)

    • -CA filename|uri

      指定签名用的 CA 证书,使用这个选项时,它的行为就是一个微型CA:CA证书的subject name会为成新证书的issuer,然后使用CA的私钥签证。
      这个选项不能与-key (or -signkey)一起使用。与-req选项一起使用时会读入CSR,否者会读入证书,另外与-new一起使用时会从头创建证书。

    • -CAform DER|PEM|P12,

      CA证书的格式

    • -CAkey filename|uri

      设置CA的私钥,指定的私钥必须与CA证书匹配,如果没有指定这个选项则-CA指定的CA证书中必须包括私钥。

    • -CAkeyform DER|PEM|P12|ENGINE

      The format for the CA key; unspecified by default. See openssl-format-options(1) for details.

    • -CAserial filename

      设置要使用的 CA 序列号文件。
      使用此选项和 ​​-CA 选项创建证书时,证书序列号存储在给定文件中。此文件由一行组成,其中包含偶数个十六进制数字,以及上次使用的序列号。读取此数字后,该数字将递增并使用,然后更新文件。
      默认文件名由 CA 证书文件基本名称和附加的 .srl 后缀组成。例如,如果 CA 证书文件名为 mycacert.pem,则它会找到一个名为 mycacert.srl 的序列号文件。
      如果指定了 -CA 选项,并且未提供 -CAserial> 或 -CAcreateserial,并且默认序列号文件不存在,则会生成一个随机数;这是推荐的做法。

    • -CAcreateserial

    ​ ​-CA 选项一起使用,如果不存在 CA 序列号文件,则创建该文件。将生成一个随机数用于证书,并保存到如上所述(-CAserial filename)确定的序列号文件中。

    Trust Settings

    可信设置。

    受信任证书是一种普通证书,它附带了几个附加信息,例如证书的允许和禁止用途以及可能的“alias”(nickname)。
    通常,在验证证书时,必须至少有一个证书是“受信任的”。默认情况下,受信任证书必须存储在本地,并且必须是根 CA:任何以此 CA 结尾的证书链都可以用于任何目的(受支持的)。
    信任设置目前仅用于根 CA。它们允许更精细地控制根 CA 的用途。例如,CA 可能被信任用于 SSL 客户端,但不被信任用于 SSL 服务器。
    有关信任设置含义的更多信息,请参阅 openssl-verification-options
    OpenSSL 的未来版本将识别任何证书上的信任设置:而不仅仅是根 CA。

    可信证书包含在—–BEGIN TRUSTED CERTIFICATE—–分隔符中,用于openssl对证书的用途进行验证。
    这个可能主要用于OpenSSL的SSL会话中信任服务端证书,比如s_client命令,相当于OpenSSL专用的受信任根证书列表。

    • -trustout

      标记任意PEM证书输出为受信任的。普通和受信任证书都可以作为输入但是默认情况下任何可信设置都会丢弃。使用这个选项后可以输出受信任证书。如果只是修改证书的信任设置仍然会输出一个信任证书。

    • -setalias arg

      设置证书的alias,这将允许使用nickname引用一个证书,例如”Steve’s Certificate”

    • -clrtrust

      清除证书的允许用途

    • -addtrust arg

      添加受信任的证书用途。此处可以使用任何对象名称,但目前仅定义了 clientAuth、serverAuth、emailProtection 和 anyExtendedKeyUsage。从 OpenSSL 1.1.0 开始,最后一次在被拒绝时阻止所有用途,在受信任时启用所有用途。其他 OpenSSL 应用程序可能会定义其他用途。

    • -clrreject

      请理证书所有禁止用途。

    • -addreject arg

      添加禁止的证书用途,与-addtrust option的格式相同.

    Generic options

    通用选项

    • -rand files, -writerand file

      指定随机数状态保存的文件,读取之前的随机数生成器状态并写入当前状态用于下次执行的时候继续使用。现在OpenSSL已经从操作系统中读取熵源,这个选项不再需要,只是在特殊情况下才有用。

    • -engine id

      指定engine id,这个选项已经废弃

    • -provider name

      指定provider name

    • -provider-path path

      provider的路径

    • -propquery propq

      provider中的属性

    Text Printing Flags

    除了自定义名称打印格式外,还可以使用 -certopt 选项(当存在-text选项时)自定义打印的实际字段。默认行为是打印所有字段。

    • compatible

      Use the old format. This is equivalent to specifying no printing options at all.

    • no_header

      Don’t print header information: that is the lines saying “Certificate” and “Data”.

    • no_version

      Don’t print out the version number.

    • no_serial

      Don’t print out the serial number.

    • no_signame

      Don’t print out the signature algorithm used.

    • no_validity

      Don’t print the validity, that is the notBefore and notAfter fields.

    • no_subject

      Don’t print out the subject name.

    • no_issuer

      Don’t print out the issuer name.

    • no_pubkey

      Don’t print out the public key.

    • no_sigdump

      Don’t give a hexadecimal dump of the certificate signature.

    • no_aux

      Don’t print out certificate trust information.

    • no_extensions

      Don’t print out any X509V3 extensions.

    • ext_default

      Retain default extension behaviour: attempt to print out unsupported certificate extensions.

    • ext_error

      Print an error message for unsupported certificate extensions.

    • ext_parse

      ASN1 parse unsupported extensions.

    • ext_dump

      Hex dump unsupported extensions.

    • ca_default

      The value used by openssl-ca, equivalent to no_issuer, no_pubkey, no_header, and no_version.

    NOTES

    The conversion to UTF8 format used with the name options assumes that T61Strings use the ISO8859-1 character set. This is wrong but Netscape and MSIE do this as do many certificates. So although this is incorrect it is more likely to print the majority of certificates correctly.
    名称选项(-subject,-issuer)会转换为UTF8 格式转换,假定 T61Strings 使用的是 ISO8859-1 字符集。这是错误的,但 Netscape 和 MSIE 以及许多证书都这样做。因此,尽管这是不正确的,但更有可能正确打印大多数证书。

    -email 选项搜索主题名称和主题备用名称扩展名。只会打印出唯一的电子邮件地址:它不会多次打印相同的地址。

    自 OpenSSL 3.2 起,生成的证书带有 X.509 版本 3(不再支持低于V3的版本?),并且默认包含key identifier扩展。

    Views: 0