如何用OpenSSL在Linux上管理PKCS#12證書

OpenSSL是一個強大的工具，可以用來生成、管理和轉換各種加密證書和密鑰。以下是如何使用OpenSSL在Linux上管理PKCS#12證書的步驟：

生成PKCS#12證書

1. 生成私鑰：

   openssl genpkey -algorithm RSA -out private.key -aes256
   

   這將生成一個RSA私鑰，并使用AES-256加密。

2. 生成證書簽名請求（CSR）：

   openssl req -new -key private.key -out certificate.csr
   

   在提示時輸入所需的信息，如國家、組織名稱等。

3. 自簽名證書或從CA獲取證書：

   • 自簽名證書：

     openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt
     

   • 從CA獲取證書：

     openssl x509 -req -days 365 -in certificate.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out certificate.crt
     

4. 將證書和私鑰打包成PKCS#12文件：

   openssl pkcs12 -export -out certificate.p12 -inkey private.key -in certificate.crt
   

   在提示時輸入導出密碼。

查看PKCS#12文件內容

1. 查看證書和私鑰：

   openssl pkcs12 -in certificate.p12 -clcerts -nokeys
   openssl pkcs12 -in certificate.p12 -nocerts -out private.key
   

2. 查看證書鏈：

   openssl pkcs12 -in certificate.p12 -clcerts -nokeys -out chain.crt
   

導入PKCS#12證書到Java KeyStore

如果你需要將PKCS#12證書導入到Java KeyStore中，可以使用以下命令：

keytool -importkeystore -srckeystore certificate.p12 -srcstoretype PKCS12 -destkeystore keystore.jks -deststoretype JKS

在提示時輸入源和目標密鑰庫的密碼。

導出PKCS#12證書中的證書

如果你需要從PKCS#12文件中提取證書，可以使用以下命令：

openssl pkcs12 -in certificate.p12 -clcerts -nokeys -out certificate.crt

導出PKCS#12證書中的私鑰

如果你需要從PKCS#12文件中提取私鑰，可以使用以下命令：

openssl pkcs12 -in certificate.p12 -nocerts -out private.key -nodes

使用-nodes選項可以確保私鑰不被加密。

通過這些步驟，你可以在Linux上使用OpenSSL有效地管理PKCS#12證書。