DN bilgileri için anahtarlar ve istemler için parola isteminden kaçının

Anahtar üretmek için aşağıdaki kodu kullanıyorum:

apt-get -qq -y install openssl;
mkdir -p /etc/apache2/ssl;
openssl genrsa -des3 -out server.key 1024;
openssl req -new -key server.key -out server.csr;
cp server.key server.key.org;
openssl rsa -in server.key.org -out server.key;
openssl x509 -req -days 12000 -in server.csr -signkey server.key -out server.crt;
mv server.crt  /etc/apache2/ssl/cert.pem;
mv server.key  /etc/apache2/ssl/cert.key;
rm -f server.key.orig;
rm -f server.csr

İki sorum var:

1. Parola istemini nasıl atlayabilirim? Bunu yapmak benim için oldukça güvenli olur mu? (içinde olduğu gibi herkesin sertifikaya girebilmesi için düpedüz aptal olmamalıdır)

2. Ülke ismi, kuruluş vb. İçin sorulmasını nasıl önleyebilirim?

Düzenleme: Bu şu ana kadarki en popüler cevabım ve birkaç yıl oldu, bu yüzden bir ECDSA varyantı ekledim. ECDSA'yı kullanabiliyorsanız kullanmalısınız.

Tüm bu bilgileri komut satırında sağlayabilirsiniz.

Bir adım, kendinden imzalı şifresiz sertifika üretimi:

RSA Sürümü

openssl req \
    -new \
    -newkey rsa:4096 \
    -days 365 \
    -nodes \
    -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key \
    -out www.example.com.cert

ECDSA versiyonu

openssl req \
    -new \
    -newkey ec \
    -pkeyopt ec_paramgen_curve:prime256v1 \
    -days 365 \
    -nodes \
    -x509 \
    -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com" \
    -keyout www.example.com.key \
    -out www.example.com.cert

Openssl alt komutlarının hepsinin kendi man sayfası var. Bakın man req.

Özellikle sorularınızı ele almak ve hangi seçeneklerin tam olarak geçerli olduğu konusunda daha açık olmak:

1. -nodesBayrak sinyalleri böylece bir şifre gerekmez, anahtarı şifrelemek değil. -passout argBayrağı da kullanabilirsiniz . Bkz PASS PHRASE ARGUMENTSiçinde openssl(1)arg biçimlendirmek nasıl adam sayfası.

2. -subjBayrağı kullanarak konuyu belirleyebilirsiniz (örnek yukarıdadır).

Does not -passinseçenek sizin için hile yapmak?

İle file:pathnameforma Eğer bu dosya için izinleri 600 ile oldukça güvenli olabilir.

Kabul edilen cevabın birkaç küçük düzeltmeye ihtiyacı var. EC Hatları:

-newkey ec
-pkeyopt ec_paramgen_curve:prime256v1

olmalı:

 -newkey ec \
 -pkeyopt ec_paramgen_curve:prime256v1 \

MacOS'ta - demlemek yoluyla kurulan OpenSSL 1.0.2f, aşağıda verilen şekilde kabul edilen cevabı doğruladım

• Mevcut Eliptik eğrileri listelemek için:

  $ openssl ecparam -list_curves
  

• Bir anahtar dosyası oluşturmak için:

  $ openssl ecparam -name secp256k1 -out secp256k1.pem
  

• Şifre isteminde bulunmadan sertifika üretmek için:

  openssl req \
      -new \
      -newkey ec:secp256k1.pem \
      -days 365 \
      -nodes \
      -x509 \
      -subj "/C=US/ST=FL/L=Ocala/O=Home/CN=example.com" \
      -keyout server.key \
      -out server.crt
  

• Sertifikayı görüntülemek için:

  $ openssl x509 -noout -text -in server.crt
  

Aşağıdaki komutu deneyin:

openssl genrsa -des3 -out user.key -passout pass:foo 1024

Atlama parçasıdır: -passout pass:foo.

@bahamat harika bir cevabı var. Maalesef openssl'nin bazı sürümleri, bir komutla ECDSA sertifikası oluşturmaya çalışırken hata veriyor. Hata gibi bir şey gider:

routines:EVP_PKEY_CTX_ctrl:invalid operation:pmeth_lib.c:404

Ben kullanıyordum openssl 1.0.1e-fipsüzerinde CentOS 7.

Sertifikanızı aşağıdaki 3 komutla oluşturmak işe yarayacak gibi görünüyor:

openssl ecparam -genkey -name prime256v1 -out key.pem
openssl req -new -key key.pem -out csr.pem -subj "/C=US/ST=Denial/L=Springfield/O=Dis/CN=www.example.com"
openssl req -x509 -days 365 -key key.pem -in csr.pem -out certificate.pem