[大部分参考]https://www.cnblogs.com/littleatp/p/5878763.html

一、证书类型

x509的证书编码格式

1. PEM（Privacy-enhanced Electronic Mail）是明文格式的，以-----BEGIN CERTIFICATE-----开头，以-----END CERTIFICATE-----结尾，中间是经过base64编码的内容。查看这种格式证书信息的命令为：openssl x509 -noout -text -in nextopKey.pem
2. DER是二进制格式的证书，查看这类证书信息的命令为：openssl x509 -noout -text -inform der -in publicKey.der

二、扩展名

1. .crt证书文件，可以是DER（二进制）编码的，也可是PEM（ASCII(Base64）)编码的，在unix系统中比较常见。
2. .cer也是证书文件，编码类型可以是PEM和DER，在windows中常见。
3. .key一般公钥或者密钥都会使用这种扩展名，可以是DER或者PEM编码。
   
   查看DER格式的.key文件命令： openssl rsa -inform DER -noout -text -in xxx.key
   
   查看PEM格式的.pem文件命令：openssl rsa -inform PEM -noout -text -in xxx.key
   
4. mac电脑在KeyChain -> KeyChain Access -> Certificate Assistant -> Request a Certificate from Certificate Authority生成的CertificateSigningRequest.certSigningRequest文件会在keyChain中生成两个key，一个是private.key另一个是public.key，将这两个key导出来(export)，密钥导出为p12文件，公钥为pem文件，如果要查看公钥的话需要将-----BEGIN RSA PUBLIC KEY-----和-----END RSA PUBLIC KEY----- 的RSA删除，然后通过命令openssl rsa -noout -text -pubin -in public.pem查看公钥内容，如果要查看私钥内容, 先将p12转换为pem格式，通过openssl pkcs12 -in private.p12 -nodes -nocerts -out pri.pem然后通过命令openssl rsa -noout -text -in pri.pem 查看，如果想查看CertificateSigningRequest.certSigningRequest的内容可以通过openssl req -noout -text -in CertificateSigningRequest.certSigningRequest。

三、openssl指令

1）RSA密钥操作

• 生成RSA密钥（无加密）openssl genrsa -out rsa_private.key 1024
• 生成RSA公钥openssl rsa -in rsa_private.key -pubout -out rsa_public.key(-pubout指定输出的为公钥)
• 生成RSA密钥（aes256加密）openssl genrsa -aes256 -passout pass:123123 -out rsa_aes_private.key 1024 (-passout 代替shell进行密码输入，否则会有提示密码输入的选项)
• 生成RSA公钥（通过aes256加密的密钥生成）openssl rsa -in rsa_aes_private.key -passin pass:123123 -pubout -out rsa_aes_pub.key(-passin 同样代替shell输入密码)
• 私钥转换成非加密：openssl rsa -in rsa_aes_private.key -passin pass:123123 -out rsa_stripe_private.key
• 私钥转为加密：openssl rsa -in rsa_stripe_private.key -aes256 -passout pass:123123 -out rsa_reaes_private.key
• 私钥PEM转DER：openssl rsa -in rsa_aes_private.key -passin pass:123123 -outform der -out rsa_aesDer_private.key（用-inform和-outform来指定输入和输出的格式）
• 查看密钥信息：openssl rsa -in rsa_aes_private.key -noout -text -passin pass:123123
• 查看公钥信息：openssl rsa -pubin -in rsa_public.key -noout -text(-pubin 用来指定输入的是公钥)
• PKCS#1转PKCS#8：openssl pkcs8 topk8 -in rsa_private.key -passout pass:123123 -out pk_private.key(默认PKCS#8开启密码加密，所以使用-passout，可以通过-nocrypt取消加密)
• MAC导出的p12文件导出为pem格式：openssl pkcs12 -in a.p12 -nodes [-nokeys/-nocerts] -out aPEM.pem，其中-nokeys表示输出没有私钥，-nocerts表示输出没有公钥

四、生成自签名证书

1.生成RSA私钥和自签名证书：openssl req -newkey rsa:1024 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt(req是证书请求子命令，-newkey rsa:1024 -keyout private.key表示生成私钥PKCS8格式，-nodes不加密，-x509表示输出证书，有效期限由-days指定)，成功后需要填写一大堆信息，可以通过-subj选项预先设置：openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt subj /C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com

2. 使用已有RSA私钥生成自签名证书：openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt(-new 指生成证书请求，加上-x509 表示直接输出证书，-key 指定私钥文件，其余选项与上述命令相同)

五、生成签名请求及CA签名

1. 使用RSA私钥生成CSR签名请求：openssl req -new -key rsa_private.key -our server.csr
2. 查看csr：openssl req -noout -text -in server.csr
3. 使用CA证书及密钥对请求证书进行签发，生成x509证书：``

六、证书查看及转换

1. 查看证书 openssl x509 -noout -text -in cert.crt(可以通过-inform定义证书格式)
2. 转换证书编码格式：openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem
3. 查看.mobileprovision文件：security cms -D -i XXX.mobileprovision

七、使用 ssh-keygen生成秘钥对

  通过指令ssh-keygen -t rsa -b 2048 -f xxx 可以生成秘钥对，公钥的名称为xxx.pub，其中

• -t 指定生成key的算法
• -b 指定key的长度
• -f 生成的文件名

  如果都不指定，直接输入ssh-keygen之后会提示输入各个参数，密码可以不指定。

  但是通过ssh-keygen工具生成的公钥无法被openssl识别，因为格式是ssh-format，需要转换成PKCS8，可以通过如下命令转化：

ssh-keygen -e -m PKCS8 -f xxx.pub > xxx_pkcs8.pub
# -e 可以理解为export， -m指定导出的格式, -f 为导入的文件，最后将key的内容以pkcs8的形式存入文件xxx_pkcs8.pub中
ssh-keygen -i -m PKCS8 -f xx.pub > xxx.pub
# -i 为导入

-----BEGIN OPENSSH PRIVATE KEY----- 转换为 -----BEGIN RSA PRIVATE KEY-----

指令为ssh-keygen -p -m PEM -f ~/.ssh/id_rsa，id_rsa 为OpenSSH RSA证书的名字，通过该指令将其转换为PEM格式