openssldes加密解密

1. OpenSSL 功能介绍

1 概述

OpenSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。

OpenSSL是实现安全套接字层（SSL v2 / v3）和传输层安全（TLS v1）网络协议及其所需的相关加密标准的加密工具包。

OpenSSL：开源项目

三个组件：

openssl: 多用途的命令行工具，包openssl

libcrypto: 加密算法库，包openssl-libs

libssl：加密模块应用库，实现了ssl及tls，包nss

.openssl命令：

两种运行模式：交互模式和批处理模式

opensslversion：程序版本号

标准命令、消息摘要命令、加密命令

标准命令：enc, ca, req, ...

查看帮助：openssl ?

可以通过openssl 来创建CA和颁发证书，文章 http://ghbsunny.blog.51cto.com/7759574/1964754

有做介绍，本文仅介绍openssl这个工具包的其他常用功能

2 案例介绍

2.1 对称加密

工具：openssl  enc, gpg，文章 http://ghbsunny.blog.51cto.com/7759574/1964887 已经介绍

算法：3des, aes, blowfish, twofish

.enc命令：

对称密码命令允许使用基于密码或明确提供的密钥的各种块和流密码来加密或解密数据。 Base64编码或解码也可以通过本身或加密或解密来执行。

The symmetric cipher commands allow data to be encrypted or decrypted using various block and stream ciphers using keys based on passwords or explicitly provided. Base64 encoding or decoding can also be performed either by itself or in addition to the encryption or decryption.

帮助：man enc

例子

加密文件

以下命令运行需要输入一个密码，当解密的时候需要输入相同的密码才能解密，这里新生成的文件后缀名不一定是cipher，可以自己指定

openssl enc  -e -des3 -a -salt -in testfile   -out testfile.cipher

解密文件

openssl  enc   -d -des3 -a -salt –in testfile.cipher -out testfile

2.2 公钥加密

公钥加密生成非对称的密钥

算法：RSA, ELGamal

工具：gpg, openssl  rsautl（man rsautl）

数字签名：

算法：RSA, DSA, ELGamal

密钥交换：

算法：dh

DSA: Digital Signature Algorithm

DSS：Digital Signature Standard

RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。命名是取其名字首字母组合成RSA

RSA公钥与私钥主要用于数字签名(Digital Signature)与认证(Authentication),我们一般也称之为不对称加密/解密。

2.2.1 生成密钥对

帮助：man genrsa

.生成私钥，这个生成密钥的过程要掌握

openssl genrsa  -out /PATH/TO/PRIVATEKEY.FILE NUM_BITS

私钥文件生成后，建议把权限改成600，保护，放在被其他人查看密码信息

私钥里的文件，如果被拿到，没有通过des这关键字加密的话，就相当于是明文

这个命令执行的时候，要输入八位数的密码，当要使用这个私钥的时候需要输入密码

(umask 077; openssl genrsa –out test.key  –des 2048)

括号表示子进程，结束后，umask就会恢复未默认的值，umask的值使得其他人和组都没有任何权限，是为了保护生成的私钥

2.2.2 从私钥中提取出公钥，导出公钥

公钥推不出私钥，私钥可以推出公钥

openssl  rsa  -in PRIVATEKEYFILE –pubout  –out PUBLICKEYFILE

Openssl  rsa  –in test.key  –pubout  –out test.key.pub

公钥是公开的，可以不设置权限，以上是生成公钥

2.2.3 公钥加密文件

openssl rsautl -encrypt -in input.file -inkey pubkey.pem -pubin -out output.file

-in 指定被加密的文件

-inkey 指定加密公钥文件

-pubin 表面是用纯公钥文件加密

-out 指定加密后的文件

例子：

openssl rsautl -encrypt -in ftpback -inkey test.key.pub -pubin -out ftpssl

2.2.4 私钥解密文件

openssl rsautl -decrypt -in input.file -inkey key.pem -out output.file

-in 指定需要解密的文件

-inkey 指定私钥文件

-out 指定解密后的文件

例子：

openssl rsautl -decrypt -in ftpssl -inkey test.key -out  ftpdec

2.3 单向加密

单向加密即获取摘要

工具：md5sum, sha1sum, sha224sum,sha256sum…

openssl    dgst

dgst：摘要功能输出所提供文件的消息摘要或十六进制形式的文件。 它们也可用于数字签名和验证。

The digest functions output the message digest of a supplied file or files in hexadecimal form. They can also be used for digital signing and verification.

.dgst命令：

帮助：man dgst

openssl  dgst  -md5 [-hex默认]  /PATH/SOMEFILE

openssl dgst  -md5 testfile

以上命令将文件生成一个固定长度的摘要值，算法是md5,大小占128bite

md5sum /PATH/TO/SOMEFILE

以上这两个md5得到的结果是一样的

.MAC: Message Authentication Code，单向加密（hash）的一种延伸应用，用于实现网络通信中保证所传输数据的完整性机制

MAC 消息认证码，构造方法可以基于hash，也可以基于对称加密算法，HMAC是基于hash的消息认证码。数据和密钥作为输入，摘要信息作为输出，常用于认证。

源文档

2.4 生成用户密码

passwd命令:

帮助：man sslpasswd

openssl  passwd  -1 -salt SALT

-1对应的就是hash的md5算法

SALT：这里是盐值，人为指定，使得同一密码生成的加密值不一样，最多8位，超过8位没有意义，比如前面8位一样，后面还有几位数不一样，这样生成的密码值是一样的

openssl  passwd  -1 –salt centos

grub-md5-crypt同样生成md5加密的口令，centos为盐值

比如这里的密码我都是输入123，但是盐值不一样，一个是centos，一个是centos6，生成的加密值不一样

2.5 生成随机数

帮助：man sslrand

rand命令在播放随机数生成器一次后输出num伪随机字节。 与其他openssl命令行工具一样，除了-rand选项中给出的文件外，PRNG种子使用文件$ HOME / .rnd或.rnd。 如果从这些来源获得足够的播种，将会写回新的$ HOME / .rnd或.rnd文件。

The rand command outputs num pseudo-random bytes after seeding the random number generator once.  As in other openssl command line tools, PRNG seeding uses the file $HOME/.rnd or .rnd in addition to the files given in the  -rand option.  A new $HOME/.rnd or .rnd file will be written back if enough seeding was obtained from these   sources.

openssl  rand -base64|-hex NUM

指定数字生成随机数，如果是-hex 后面的数值比如6，那么生成的长度是12位，因为hex生成的随机数是16进制组合的数，hex 后面的num是字节数，一个16进制数占用4位，半个字节

base后面可以生成随机密码

base64 生成随机的数，可以用任何字符，也可以把图片保存成base64的格式，通过base64生成的图片，可以

用base64来还原出图片

NUM: 表示字节数；-hex时，每个字符为十六进制，相当于4位二进制，出现的字符数为NUM*2

3 总结

openssl还有很多用法，本文仅单纯介绍了其中一部分，更多用法请使用帮助 man openssl 进行查看

2. openssl提供 DES_ecb3_encrypt方法

一. 利用openssl命令进行BASE64编码解码（base64 encode/decode）
1. BASE64编码命令
对字符串‘abc’进行base64编码：
# echo abc | openssl base64
YWJjCg== （编码结果）

如果对一个文件进行base64编码（文件名t.txt）：
# openssl base64 -in t.txt

2. BASE64解码命令
求base64后的字符串‘YWJjCg==’的原文：
# echo YWJjCg== | openssl base64 -d
abc （解码结果）

如果对一个文件进行base64解码（文件名t.base64）：
# openssl base64 -d -in t.base64

二. 利用openssl命令进行md5/sha1摘要（digest）
1. 对字符串‘abc’进行md5摘要计算：echo abc | openssl md5
若对某文件进行md5摘要计算：openssl md5 -in t.txt

2. 对字符串‘abc’进行sha1摘要计算：echo abc | openssl sha1
若对某文件进行sha1摘要计算：openssl sha1 -in t.txt

三. 利用openssl命令进行AES/DES3加密解密（AES/DES3 encrypt/decrypt）

对字符串‘abc’进行aes加密，使用密钥123，输出结果以base64编码格式给出：
# echo abc | openssl aes-128-cbc -k 123 -base64
U2FsdGVkX18ynIbzARm15nG/JA2dhN4mtiotwD7jt4g= （结果）

对以上结果进行解密处理：
# echo U2FsdGVkX18ynIbzARm15nG/JA2dhN4mtiotwD7jt4g= | openssl aes-128-cbc -d -k 123 -base64
abc （结果）

若要从文件里取原文（密文）进行加密（解密），只要指定 -in 参数指向文件名就可以了。

进行des3加解密，只要把命令中的aes-128-cbc换成des3就可以了。
另外,站长团上有产品团购,便宜有保证

3. 用C++编写DES加密解密的方法，具体思路是什么

DES是对二元数字分组加密的分组密码算法，分组长度为64比特。每64位明文加密成64位密文，没有数据压缩和扩展，密钥长度为56比特，若输入64比特，则第8,16,24,32,40,48,56,64为奇偶检验位，所以，实际密钥只有56位。DES算法完全公开，其保密性完全依赖密钥。

4. OpenSSL详解

OpenSSL初接触的人恐怕最难的在于先理解各种概念

公钥/私钥/签名/验证签名/加密/解密/非对称加密

我们一般的加密是用一个密码加密文件,然后解密也用同样的密码.这很好理解,这个是对称加密.而有些加密时,加密用的一个密码,而解密用另外一组密码,这个叫非对称加密,意思就是加密解密的密码不一样.初次接触的人恐怕无论如何都理解不了.其实这是数学上的一个素数积求因子的原理的应用,如果你一定要搞懂,网络有大把大把的资料可以看,其结果就是用这一组密钥中的一个来加密数据,可以用另一个解开.是的没错,公钥和私钥都可以用来加密数据,相反用另一个解开,公钥加密数据,然后私钥解密的情况被称为加密解密,私钥加密数据,公钥解密一般被称为签名和验证签名.

因为公钥加密的数据只有它相对应的私钥可以解开,所以你可以把公钥给人和人,让他加密他想要传送给你的数据,这个数据只有到了有私钥的你这里,才可以解开成有用的数据,其他人就是得到了,也看懂内容.同理,如果你用你的私钥对数据进行签名,那这个数据就只有配对的公钥可以解开,有这个私钥的只有你,所以如果配对的公钥解开了数据,就说明这数据是你发的,相反,则不是.这个被称为签名.

实际应用中,一般都是和对方交换公钥,然后你要发给对方的数据,用他的公钥加密,他得到后用他的私钥解密,他要发给你的数据,用你的公钥加密,你得到后用你的私钥解密,这样最大程度保证了安全性.

RSA/DSA/SHA/MD5

非对称加密的算法有很多,比较着名的有RSA/DSA ,不同的是RSA可以用于加/解密,也可以用于签名验签,DSA则只能用于签名.至于SHA则是一种和md5相同的算法,它不是用于加密解密或者签名的,它被称为摘要算法.就是通过一种算法,依据数据内容生成一种固定长度的摘要,这串摘要值与原数据存在对应关系,就是原数据会生成这个摘要,但是,这个摘要是不能还原成原数据的,嗯....,正常情况下是这样的,这个算法起的作用就是,如果你把原数据修改一点点,那么生成的摘要都会不同,传输过程中把原数据给你再给你一个摘要,你把得到的原数据同样做一次摘要算法,与给你的摘要相比较就可以知道这个数据有没有在传输过程中被修改了.

实际应用过程中,因为需要加密的数据可能会很大,进行加密费时费力,所以一般都会把原数据先进行摘要,然后对这个摘要值进行加密,将原数据的明文和加密后的摘要值一起传给你.这样你解开加密后的摘要值,再和你得到的数据进行的摘要值对应一下就可以知道数据有没有被修改了,而且,因为私钥只有你有,只有你能解密摘要值,所以别人就算把原数据做了修改,然后生成一个假的摘要给你也是不行的,你这边用密钥也根本解不开.

CA/PEM/DER/X509/PKCS

一般的公钥不会用明文传输给别人的,正常情况下都会生成一个文件,这个文件就是公钥文件,然后这个文件可以交给其他人用于加密,但是传输过程中如果有人恶意破坏,将你的公钥换成了他的公钥,然后得到公钥的一方加密数据,不是他就可以用他自己的密钥解密看到数据了吗,为了解决这个问题,需要一个公证方来做这个事,任何人都可以找它来确认公钥是谁发的.这就是CA,CA确认公钥的原理也很简单,它将它自己的公钥发布给所有人,然后一个想要发布自己公钥的人可以将自己的公钥和一些身份信息发给CA,CA用自己的密钥进行加密,这里也可以称为签名.然后这个包含了你的公钥和你的信息的文件就可以称为证书文件了.这样一来所有得到一些公钥文件的人,通过CA的公钥解密了文件,如果正常解密那么机密后里面的信息一定是真的,因为加密方只可能是CA,其他人没它的密钥啊.这样你解开公钥文件,看看里面的信息就知道这个是不是那个你需要用来加密的公钥了.

实际应用中,一般人都不会找CA去签名,因为那是收钱的,所以可以自己做一个自签名的证书文件,就是自己生成一对密钥,然后再用自己生成的另外一对密钥对这对密钥进行签名,这个只用于真正需要签名证书的人,普通的加密解密数据,直接用公钥和私钥来做就可以了.

密钥文件的格式用OpenSSL生成的就只有PEM和DER两种格式,PEM的是将密钥用base64编码表示出来的,直接打开你能看到一串的英文字母,DER格式是二进制的密钥文件,直接打开,你可以看到........你什么也看不懂!.X509是通用的证书文件格式定义.pkcs的一系列标准是指定的存放密钥的文件标准,你只要知道PEM DER X509 PKCS这几种格式是可以互相转化的.

== End http://www.cnblogs.com/phpinfo/archive/2013/08/09/3246376.html ==

为了方便理解，我画了一个图，如下：

使用 openssl 生成证书（含openssl详解）
一、openssl 简介
openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。
官网： https://www.openssl.org/source/

构成部分
密码算法库

密钥和证书封装管理功能

SSL通信API接口

用途
建立 RSA、DH、DSA key 参数

建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表)

计算消息摘要

使用各种 Cipher加密/解密

SSL/TLS 客户端以及服务器的测试

处理S/MIME 或者加密邮件

二、RSA密钥操作
默认情况下，openssl 输出格式为 PKCS#1-PEM

生成RSA私钥(无加密)

openssl genrsa -out rsa_private.key 2048

生成RSA公钥

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私钥(使用aes256加密)

openssl genrsa -aes256 -passout pass:111111 -out rsa_aes_private.key 2048

其中 passout 代替shell 进行密码输入，否则会提示输入密码；
生成加密后的内容如：

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,
Base64 Encoded
Data-----END RSA PRIVATE KEY-----

此时若生成公钥，需要提供密码

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passout 代替shell 进行密码输入，否则会提示输入密码；

转换命令
私钥转非加密

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私钥转加密

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私钥PEM转DER

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 参数制定输入输出格式，由der转pem格式同理

查看私钥明细

openssl rsa -in rsa_private.key -noout -text

使用-pubin参数可查看公钥明细

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密码，输出的pkcs8格式密钥为加密形式，pkcs8默认采用des3 加密算法，内容如下：

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt参数可以输出无加密的pkcs8密钥，如下：

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

三、生成CA自签名证书和RSA私钥(测试场景步骤)
测试场景步骤1：生成 RSA 私钥和自签名证书：

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt

注释：

操作步骤如下：提示填写过程中如果想删除填写的内容，用ctrl+Backspace删除前面的字符

[root@szxelab01-web-100 cert]# openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt
Generating a 2048 bit RSA private key
.............+++
........................+++
writing new private key to 'rsa_private.key'

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

[root@szxjdwins01-web-27 cert]# ll
total 8
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 36500 -out cert.crt -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

openssl req -new -x509 -days 36500 -key rsa_private.key -out cert.crt

四、生成服务器签名请求文件及CA 签名颁发服务器证书（）
server.key建议不要加密码，如果加密码，重启nginx的时候每次都需要密码才可以启动nginx影响效率。
nginx配置只需要server.key和server.crt两个文件。

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
Generating RSA private key, 2048 bit long molus
............................+++
.......+++
e is 65537 (0x10001)

[root@szxjdwins01-web-27 cert]# openssl genrsa -aes256 -out server.key 2048
Generating RSA private key, 2048 bit long molus
.............................................+++
........................................................+++
e is 65537 (0x10001)
Enter pass phrase for server.key: 111111手动输入密码
Verifying - Enter pass phrase for server.key: 111111手动输入密码

[root@szxelab01-web-27 cert]# openssl req -new -key server.key -out server.csr
Enter pass phrase for server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.

Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:SunFoBank
Organizational Unit Name (eg, section) []:IT Dept
Common Name (eg, your name or your server's hostname) []:sunfobank.com
Email Address [] :[email protected]

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []: 不输入密码
An optional company name []: 不输入密码

此后输入密码、server证书信息完成，也可以命令行指定各类参数

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected] "

*** 此时生成的 csr签名请求文件可提交至 CA进行签发 ***

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----

openssl req -noout -text -in server.csr

openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt

[root@szxelab01-web-27 cert]# openssl x509 -req -days 365000 -in server.csr -CA cert.crt -CAkey rsa_private.key -passin pass:111111 -CAcreateserial -out server.crt
Signature ok
subject=/C=CN/ST=GuangDong/L=ShenZhen/O=SunFoBank/OU=IT Dept/CN= sunfobank.com/[email protected]
Getting CA Private Key

其中 CAxxx 选项用于指定CA 参数输入

[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1766 Jun 22 14:54 server.key

此时对nginx任何操作，都需要提示输入server.key的密码才可以执行。
[root@szxelab01-web-27 nginx]# /application/nginx/sbin/nginx -t
Enter PEM pass phrase: 输入密码111111
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok

为例不输入密码，需要把加密server.key转换成不加密的server.key

[root@szxelab01-web-27 cert]# openssl rsa -in server.key -passin pass:111111 -out server.key
writing RSA key

此时nginx操作就不提示输入密码了：
[root@szxelab01-web-27 cert]# /application/nginx/sbin/nginx -t
nginx: the configuration file /application/nginx-1.12.2//conf/nginx.conf syntax is ok
nginx: configuration file /application/nginx-1.12.2//conf/nginx.conf test is successful

证书位置：
[root@szxelab01-web-27 cert]# pwd
/application/nginx/cert
[root@szxelab01-web-27 cert]# ll
total 24
-rw-r--r--. 1 root root 1452 Jun 22 14:29 cert.crt
-rw-r--r--. 1 root root 17 Jun 22 15:07 cert.srl
-rw-r--r--. 1 root root 1708 Jun 22 14:29 rsa_private.key
-rw-r--r--. 1 root root 1334 Jun 22 15:07 server.crt
-rw-r--r--. 1 root root 1070 Jun 22 15:04 server.csr
-rw-r--r--. 1 root root 1679 Jun 22 15:19 server.key

至此测试场景私有证书配置完成
五、证书查看及转换
查看证书细节

openssl x509 -in cert.crt -noout -text

转换证书编码格式

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 证书(含私钥)

** 将 pem 证书和私钥转 pkcs#12 证书 **

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指导出pkcs#12 证书，-inkey 指定了私钥文件，-passin 为私钥(文件)密码(nodes为无加密)，-password 指定 p12文件的密码(导入导出)

** 将 pem 证书和私钥/CA 证书 合成pkcs#12 证书**

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \ -chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同时添加证书链，-CAfile 指定了CA证书，导出的p12文件将包含多个证书。(其他选项：-name可用于指定server证书别名；-caname用于指定ca证书别名)

** pcks#12 提取PEM文件(含私钥) **

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密码(导入导出)，-passout指输出私钥的加密密码(nodes为无加密)
导出的文件为pem格式，同时包含证书和私钥(pkcs#8)：

Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN= vihoo.com/[email protected]
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN= viroot.com/[email protected] CERTIFICATE-----MIIDazCCAlMCCQCIOlA9/
1LpQCA+2B6dn4scZwaCD-----END CERTIFICATE-----Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

仅提取证书(所有证书)

openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

仅提取ca证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

仅提取server证书

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六、openssl 命令参考

5. openssl 中调用哪个函数实现16字节des密钥cbc方式加密数据

使用OpenSSL的EVP接口实现des128加密的逻辑流程如下：

// 初始化上下文数据结构，指定算法（EVP_des_ede_cbc）、密钥(key)、初始化向量（initVector）
//
EVP_CIPHER_CTX_init(&ctx);
EVP_EncryptInit_ex(&ctx, EVP_des_ede_cbc(), NULL, key, initVector);
......

// 加数的中间过程调用EVP_EncryptUpdate，pInBuffer、inSize指定要加密的明文和长度。
// 函数从pOutBuffer，outSize中返回加密后的密文和长度。
// 可以反复调用该API加密多个数据块。注意所有EVP函数是失败时返回0值。
//
ret = EVP_EncryptUpdate(&ctx, pOutBuffer, &outSize, pInBuffer, inSize);
if (0 == ret) goto ErrorExit;
......

// 在所有数据块加密完成后调用Final函数取得最后的对齐数据。
//
ret = EVP_EncryptFinal_ex(&ctx, pOutBuffer, &outSize);
if (0 == ret) goto ErrorExit;
......

// 最后返回的时候别忘了释放资源。
ErrorExit:
EVP_CIPHER_CTX_cleanup(&ctx);
return ret;

解密过程与上面一样，只是中间调用的函数分别变成EVP_DecryptInit_ex、EVP_DecryptUpdate和EVP_DecryptFinal_ex。OpenSSL EVP接口的相关说明可以去查官方文档或请教网络老师。

6. openssl unix口令密文怎么解密

下面我将单介绍使用Openssl进行文件的对称加密操作。
一、Openssl支持的加密算法有：
-aes-128-cbc -aes-128-cfb -aes-128-cfb1
-aes-128-cfb8 -aes-128-ecb -aes-128-ofb
-aes-192-cbc -aes-192-cfb -aes-192-cfb1
-aes-192-cfb8 -aes-192-ecb -aes-192-ofb
-aes-256-cbc -aes-256-cfb -aes-256-cfb1
-aes-256-cfb8 -aes-256-ecb -aes-256-ofb
-aes128 -aes192 -aes256
-bf -bf-cbc -bf-cfb
-bf-ecb -bf-ofb -blowfish
-cast -cast-cbc -cast5-cbc
-cast5-cfb -cast5-ecb -cast5-ofb
-des -des-cbc -des-cfb
-des-cfb1 -des-cfb8 -des-ecb
-des-ede -des-ede-cbc -des-ede-cfb
-des-ede-ofb -des-ede3 -des-ede3-cbc
-des-ede3-cfb -des-ede3-ofb -des-ofb
-des3 -desx -desx-cbc
-rc2 -rc2-40-cbc -rc2-64-cbc
-rc2-cbc -rc2-cfb -rc2-ecb
-rc2-ofb -rc4 -rc4-40
二、Openssl加密指令语法：
SYNOPSIS
openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e]
[-d] [-a] [-A] [-k password] [-kfile filename] [-K key] [-iv IV] [-p]
[-P] [-bufsize number] [-nopad] [-debug]
说明：
-chipername选项：加密算法，Openssl支持的算法在上面已经列出了，你只需选择其中一种算法即可实现文件加密功能。
-in选项：输入文件，对于加密来说，输入的应该是明文文件；对于解密来说，输入的应该是加密的文件。该选项后面直接跟文件名。
-out选项：输出文件，对于加密来说，输出的应该是加密后的文件名；对于解密来说，输出的应该是明文文件名。
-pass选项：选择输入口令的方式，输入源可以是标准输入设备，命令行输入，文件、变量等。
-e选项：实现加密功能（不使用-d选项的话默认是加密选项）。
-d选项：实现解密功能。
-a和-A选项：对文件进行BASE64编解码操作。
-K选项：手动输入加密密钥（不使用该选项，Openssl会使用口令自动提取加密密钥）。
-IV选项：输入初始变量（不使用该选项，Openssl会使用口令自动提取初始变量）。
-salt选项：是否使用盐值，默认是使用的。
-p选项：打印出加密算法使用的加密密钥。
三、案例：
1. 使用aes-128-cbc算法加密文件：
openssl enc -aes-128-cbc -in install.log -out enc.log
(注：这里install.log是你想要加密的文件，enc.log是加密后的文件，回车后系统会提示你输入口令）
2. 解密刚刚加密的文件：
openssl enc -d -aes-128-cbc -in enc.log -out install.log
（注：enc.log是刚刚加密的文件，install.log是解密后的文件，-d选项实现解密功能）
3.加密文件后使用BASE64格式进行编码：
openssl enc -aes-128-cbc -in install.log -out enc.log -a
4.使用多种口令输入方式加密：
openssl enc -des-ede3-cbc -in install.log -out enc.log -pass pass:111111
(这种方式的好处是你可以把它写入到脚本中，自动完成加密功能，不使用pass选项默认系统会提示输入口令，并且确认，是需要人工操作的）
四、Openssl的功能还远不只于此，感兴趣的朋友可以参考Openssl的手册学习。在linux系统中你可以通过：man openssl 快速获得帮助文件。

例：对文件file.tar.gz进行加密，密码为123456
openssl des3 -salt -k 123456 -in file.tar.gz -out file.tar.gz.des3

对file.tar.gz.des3 解密
openssl enc -des3 -d -in file.tar.gz.des3 -out file.tar.gz

7. OpenSSL之3DES用法

3DES（或称为Triple DES）是三重数据加密算法（TDEA，Triple Data Encryption Algorithm）块密码的通称。它相当于是对每个数据块应用三次DES加密算法。由于计算机运算能力的增强，原版DES密码的密钥长度变得容易被暴力破解；3DES即是设计用来提供一种相对简单的方法，即通过增加DES的密钥长度来避免类似的攻击，而不是设计一种全新的块密码算法。

其具体实现如下：设Ek()和Dk()代表DES算法的加密和解密过程，K代表DES算法使用的密钥，P代表明文，C代表密文，这样：
3DES加密过程为：C=Ek3(Dk2(Ek1(P)))
3DES解密过程为：P=Dk1(EK2(Dk3(C)))

本文假设你已经安装好了OpenSSL，并且持有一份1.1.1的源码。
3DES相关的头文件在des.h中、源文件在crypto/des目录中。

# define DES_ENCRYPT 1
# define DES_DECRYPT 0
这里定义了加密和解密的类型。

typedef unsigned int DES_LONG;

这个结构定义了DES的密钥上下文。相关字段含义：
ks —— 16轮子密钥。

在1.1.1中，大多数的数据结构已经不再向使用者开放，从封装的角度来看，这是更合理的。如果你在头文件中找不到结构定义，不妨去源码中搜一搜。

void DES_ecb3_encrypt(const_DES_cblock *input, DES_cblock *output,
DES_key_schele *ks1, DES_key_schele *ks2,
DES_key_schele *ks3, int enc);
使用电子密码本方式加解密一个分组。
ks1、ks2、ks3分别为传入的三个64位密钥。
其内部实现为：

可以看到内部使用了DES_encrypt3()这个内部分组加密函数，并且传入了3个密钥。

我们继续来看DES_encrypt3()是如何利用这3个密钥的。
void DES_encrypt3(DES_LONG *data, DES_key_schele *ks1,
DES_key_schele *ks2, DES_key_schele *ks3)
其内部实现为：

可以看到内部又继续使用了DES_encrypt2()这个分组加密函数。没有必要再继续解开DES_encrypt2()了，因为它主要根据密钥做分组的加解密处理。

关于三个密钥的利用关系，在DES_encrypt3()中主要是做三次叠加运算：
使用第一个密钥做分组加密运算。
使用第二个密钥做分组解密运算。
使用第三个密钥做分组加密运算。

3DES的叠加运算，根据密钥的组合关系，经常又表现为以下模式：

void DES_ede3_cbc_encrypt(const unsigned char *input, unsigned char *output,
long length,
DES_key_schele *ks1, DES_key_schele *ks2,
DES_key_schele *ks3, DES_cblock *ivec, int enc);
使用密文分组链加解密。
参数ivec为初使化向量，在本函数返回时会被更新，可用于下一次分组运算。
注：
从源码实现来看，虽然DES_ede3_cbc_encrypt()自身支持明文长度多于一个分组的计算，但是却没有处理填充，所以从统一封装来看，建议开发者在使用这个函数时，同DES_ecb_encrypt()的用法一样，传入单个分组。

下面这个例子演示了使用普通DES加密，3DES的DES的兼容模式解密（即3个密钥完全相同）。

输出：
f8a8707fea7d45cd
3132333435363738

8. OpenSSL之AES用法

密码学中的高级加密标准（Advanced Encryption Standard，AES），又称Rijndael加密法，是美国联邦政府采用的一种分组加密标准。这个标准用来替代原先的DES（Data Encryption Standard），已经被多方分析且广为全世界所使用。经过五年的甄选流程，高级加密标准由美国国家标准与技术研究院 （NIST）于2001年11月26日发布于FIPS PUB 197，并在2002年5月26日成为有效的标准。2006年，高级加密标准已然成为对称密钥加密中最流行的算法之一 。

本文假设你已经安装好了OpenSSL，并且持有一份1.1.1的源码。
AES相关的头文件在aes.h中、源文件在crypto/aes目录中。

这里定义了加密和解密的类型。

这里定义了分组最大轮数和块大小。

这个结构定义了AES的密钥上下文。相关字段含义：
rd_key —— 每轮的子密钥。
rounds —— 加解密轮数。

在1.1.1中，大多数的数据结构已经不再向使用者开放，从封装的角度来看，这是更合理的。如果你在头文件中找不到结构定义，不妨去源码中搜一搜。

int AES_set_encrypt_key(const unsigned char *userKey, const int bits, AES_KEY *key);
设置加密密钥，bits必须是128、192、256，否则会失败。
成功返回0，失败返回负数。

int AES_set_decrypt_key(const unsigned char *userKey, const int bits, AES_KEY *key);
设置解密密钥，bits必须是128、192、256，否则会失败。
成功返回0，失败返回负数。

void AES_encrypt(const unsigned char *in, unsigned char *out, const AES_KEY *key);
执行AES ECB分组加密。

void AES_decrypt(const unsigned char *in, unsigned char *out, const AES_KEY *key);
执行AES ECB分组解密。

void AES_ecb_encrypt(const unsigned char *in, unsigned char *out, const AES_KEY *key, const int enc);
执行AES ECB分组加解密。其实是AES_encrypt()和AES_decrypt()的简单封装。
其内部实现为：

void AES_cbc_encrypt(const unsigned char *in, unsigned char *out, size_t length,
const AES_KEY *key, unsigned char *ivec, const int enc);
执行AES CBC分组加解密。
ivec为16字节的向量，每次加解密都需要，首次为初使向量，后续为前一次的密文分组。
其内部实现为：

下面这个例子演示了AES ECB分组加解密的基本用法。在实际项目中，需要程序员加以封装，并充分考虑数据填充问题。

输出：
AES_set_encrypt_key ret:0
AES_set_decrypt_key ret:0

9. linux怎么获取使用md5处理前的密码

这里以字符串123456为例子，它的md5密文值为：
这里以1.txt为需要被加密的文件。

一、 用oppnssl md5 加密字符串和文件的方法。
1. oppnssl md5 加密字符串的方法
a.手动输入命令及过程如下：
#openssl //在终端中输入openssl后回车。
OpenSSL> md5 //输入md5后回车
123456 //接着输入123456，不要输入回车。然后按3次ctrl+d。
123456 //123456后面的就是密文了
解释：为何在输入123456后不回车呢？
是因为openssl默认会把回车符当做要加密的字符串中的一个字符，所以得到的结果不同。如果你输入123456后回车，在按2次ctrl+d。得到的结果是：
OpenSSL> md5
123456
//因为openssl不忽略回车符导致的
b.或者直接用管道命令
# echo -n 123456 | openssl md5 //必须要有-n参数，否则就不是这个结果了。

解释：为何要加-n这个参数？
-n就表示不输入回车符，这样才能得到正确的结果。如果你不加-n，那么结果和前面说的一样为：
//因为openssl不忽略回车符导致的
2.用openssl加密文件。
#openssl md 5 -in 1.txt

##################################################3
Openssl其他相关加密的命令参数：引自：实用命令：利用openssl进行BASE64编码解码、md5/sha1摘要、AES/DES3加密解密 收藏
一. 利用openssl命令进行BASE64编码解码（base64 encode/decode）
1. BASE64编码命令
对字符串‘abc’进行base64编码：
# echo abc | openssl base64
YWJjCg== （编码结果）
如果对一个文件进行base64编码（文件名t.txt）：
# openssl base64 -in t.txt
2. BASE64解码命令
求base64后的字符串‘YWJjCg==’的原文：
# echo YWJjCg== | openssl base64 -d
abc （解码结果）
如果对一个文件进行base64解码（文件名t.base64）：
# openssl base64 -d -in t.base64
二. 利用openssl命令进行md5/sha1摘要（digest）
1. 对字符串‘abc’进行md5摘要计算：echo abc | openssl md5
若对某文件进行md5摘要计算：openssl md5 -in t.txt
2. 对字符串‘abc’进行sha1摘要计算：echo abc | openssl sha1
若对某文件进行sha1摘要计算：openssl sha1 -in t.txt
三. 利用openssl命令进行AES/DES3加密解密（AES/DES3 encrypt/decrypt）
对字符串‘abc’进行aes加密，使用密钥123，输出结果以base64编码格式给出：
# echo abc | openssl aes-128-cbc -k 123 -base64
U2FsdGVkX18ynIbzARm15nG/JA2dhN4mtiotwD7jt4g= （结果）
对以上结果进行解密处理：
# echo U2FsdGVkX18ynIbzARm15nG/JA2dhN4mtiotwD7jt4g= | openssl aes-128-cbc -d -k 123 -base64
abc （结果）
若要从文件里取原文（密文）进行加密（解密），只要指定 -in 参数指向文件名就可以了。
进行des3加解密，只要把命令中的aes-128-cbc换成des3就可以了。
注：只要利用openssl help就可以看到更多的安全算法了。
###############################################

二、 利用php的md5函数加密字符串
#touch a.php //创建a.php文件
#vi a.php //用vi 编辑a.php文件
将<?php echo md5(123456); ?>输入进去后保存
#php a.php //运行a.php文件
显示：
三、 利用md5sum命令
A.在linux或Unix上，md5sum是用来计算和校验文件报文摘要的工具程序。一般来说，安装了Linux后，就会有md5sum这个工具，直接在命令行终端直接运行。可以用下面的命令来获取md5sum命令帮助 man md5sum
#md5sum –help
有个提示：“With no FILE, or when FILE is -, read standard input.”翻译过来就是“如果没有输入文件选项或者文件选项为 - ，则从标砖读取输入内容”，即可以直接从键盘读取字符串来加密。
利用md5sum加密字符串的方法
# md5sum //然后回车
123456 //输入123456.然后按两次ctrl+d.
显示：
123456 红色代表加密后的值
还可以用管道命令：
#echo -n '123123' | md5sum

或者写成md5加密脚本，名字叫md5.sh，
将以下内容复制进脚本里：
#!/bin/bash
echo -n $1 | md5sum | awk '{print $1}'

保存后，给脚本执行权限。
#sh md5.sh 123456
显示：
B.其实也可以将文本放入文本文件，然后用md5sum 加密改文本，也可以得到字符串加密的值。过程如下：
#touch a.txt
#echo -n 123456 > a.txt //将123456写进文本文件，不能丢了 –n参数，避免回车符干扰
#md5sum a.txt
显示： a.txt

ctrl+d有两个含义：
一是向程序发送文件输入结束符EOF。
二是向程序发送exit退出指令。程序收到信号后具体动作是结束输入、然后等待，还是直接退出，那就要看该程序捕获信号后是如何操作的了。
md5sum属于第一个含义。两次strl+d了，第一次读取EOF指令，再次捕获就会当成exit指令。而shell一类的程序，会直接把ctrl+d解析为退出指令。