?
:openssl.cnf,還有些輔助配置文件)中指定了默認值。如果沒有指定"-key"選項,則會自動生成一個RSA私鑰,該私鑰的生成位置
:也在openssl.cnf中指定了。如果指定了-x509選項,則表示創建的是自簽署證書文件,而非證書請求文件
-newkey args :類似于"-new"選項,創建一個新的證書請求,并創建私鑰。args的格式是"rsa:bits"(其他加密算法請查看man),其中bits
openssl s_client, :是rsa密鑰的長度,如果bits省略了(即-newkey rsa),則長度根據配置文件中default_bits指令的值作為默認長度,默認該值為2048
:如果指定了-x509選項,則表示創建的是自簽署證書文件,而非證書請求文件
-nodes :默認情況下,openssl req自動創建私鑰時都要求加密并提示輸入加密密碼,指定該選項后則禁止對私鑰文件加密
-key filename :指定私鑰的輸入文件,創建證書請求時需要
-keyout filename :指定自動創建私鑰時私鑰的存放位置,若未指定該選項,則使用配置文件中default_keyfile指定的值,默認該值為privkey.pem
-[dgst] :指定對創建請求時提供的申請者信息進行數字簽名時的單向加密算法,如-md5/-sha1/-sha512等,
openssl-devel? :若未指定則默認使用配置文件中default_md指定的值 -verify :對證書請求文件進行數字簽名驗證
-x509 :指定該選項時,將生成一個自簽署證書,而不是創建證書請求。一般用于測試或者為根CA創建自簽名證書
-days n :指定自簽名證書的有效期限,默認30天,需要和"-x509"一起使用。
:注意是自簽名證書期限,而非請求的證書期限,因為證書的有效期是頒發者指定的,證書請求者指定有效期是沒有意義的,
:配置文件中的default_days指定了請求證書的有效期限,默認365天
-set_serial n :指定生成自簽名證書時的證書序列號,該序列號將寫入配置文件中serial指定的文件中,這樣就不需要手動更新該序列號文件
編譯openssl、 :支持數值和16進制值(0x開頭),雖然也支持負數,但不建議 -in filename :指定證書請求文件filename。注意,創建證書請求文件時是不需要指定該選項的
-out filename :證書請求或自簽署證書的輸出文件,也可以是其他內容的輸出文件,不指定時默認stdout
-subj args :替換或自定義證書請求時需要輸入的信息,并輸出修改后的請求信息。args的格式為"/type0=value0/type1=value1...",
:如果value為空,則表示使用配置文件中指定的默認值,如果value值為".",則表示該項留空。其中可識別type(man req)有:
:C是Country、ST是state、L是localcity、O是Organization、OU是Organization Unit、CN是common name等 【輸出內容選項:】
-text :以文本格式打印證書請求
openssh-server。-noout :不輸出部分信息 -subject :輸出證書請求文件中的subject(如果指定了x509,則打印證書中的subject)
-pubkey :輸出證書請求文件中的公鑰 【配置文件項和雜項:】
-passin arg :傳遞解密密碼
-passout arg :指定加密輸出文件時的密碼
-config filename :指定req的配置文件,指定后將忽略所有的其他配置文件。如果不指定則默認使用/etc/pki/tls/openssl.cnf中req段落的值
-batch :非交互模式,直接從配置文件(默認/etc/pki/tls/openssl.cnf)中讀取證書請求所需字段信息。但若不指定"-key"時,仍會詢問key
req文件、-verbose :顯示操作執行的詳細信息
output_password :密碼的輸出文件,與命令行的"-passout"選項對應,
default_bits :openssl req自動生成RSA私鑰時的長度,不寫時默認是512,命令行的"-new"和"-newkey"可能會用到它
default_keyfile:默認的私鑰輸出文件,與命令行的"-keyout"選項對應
encrypt_key :當設置為no時,自動創建私鑰時不會加密該私鑰。設置為no時與命令行的"-nodes"等價。還有等價的兼容性寫法:encry_rsa_key
default_md :指定創建證書請求時對申請者信息進行數字簽名的單向加密算法,與命令行的"-[dgst]"對應
openssl命令用法。 prompt :當指定為no時,則不提示輸入證書請求的字段信息,而是直接從openssl.cnf中讀取 :請小心設置該選項,很可能請求文件創建失敗就是因為該選項設置為no
distinguished_name:(DN)是一個擴展屬性段落,用于指定證書請求時可被識別的字段名稱。
?
"-key"指定私鑰文件,"-out"指定輸出文件,此處輸出文件即為證書請求文件。
?
?