openssl制作ECC证书详解_openssl ecparam

1.ECC证书是什么？

ECC证书是使用椭圆曲线密码学（Elliptic Curve Cryptography，ECC）算法生成的数字证书。与传统的RSA算法相比，ECC算法在相同的安全级别下使用更短的密钥长度，提供了更高的安全性和更高的性能。

ECC证书通常用于安全通信和加密应用中，用于验证和加密数据的身份和完整性。它们被广泛用于SSL/TLS协议中，用于加密网站和保护网络通信的安全性。

ECC证书包含了一对密钥：一个私钥和一个公钥。私钥用于签名和解密数据，而公钥用于验证签名和加密数据。ECC证书还包含了证书持有者（通常是网站或实体）的身份信息，例如域名、组织名称等。

ECC证书的主要优势包括更短的密钥长度、更高的安全性、更快的加密和解密速度以及更小的计算和存储资源需求。这使得ECC证书成为现代网络安全领域中的重要技术。

ECC证书和RSA证书是两种常见的数字证书，它们使用不同的加密算法和密钥长度，并具有一些区别。以下是ECC证书和RSA证书之间的主要区别：

1. 密钥长度：ECC证书使用的密钥长度相对较短，通常在256位到521位之间，而RSA证书使用的密钥长度通常在2048位到4096位之间。尽管ECC密钥长度较短，但其安全性与相应长度的RSA密钥相当。

2. 安全性：ECC算法在相同的密钥长度下提供了比RSA算法更高的安全性。这是因为ECC利用椭圆曲线上的数学问题，其安全性与大素数分解问题（RSA算法的基础）相比更难攻破。

3. 性能：由于密钥长度较短，ECC算法在加密、解密和密钥交换等方面具有更好的性能。它需要更少的计算资源和带宽，因此在移动设备和网络通信中更受青睐。

4. 支持情况：ECC算法相对较新，因此在一些旧版本的软件和硬件中可能不被完全支持。相比之下，RSA算法是较为传统和广泛支持的加密算法。

总体而言，ECC证书在相同安全级别下具有更短的密钥长度、更高的安全性和更好的性能，但其在某些旧版本的系统中可能不受完全支持。选择使用ECC证书还是RSA证书取决于具体的应用需求和系统兼容性。

来看一张ECC证书：

这里就是一张ECC证书，那么公钥和公钥参数是什么？带着这个疑问，可以看下一节中制作证书时的详细参数解释。

2.使用openssl制作ECC证书

OpenSSL的ecparam命令支持多种椭圆曲线参数，用于生成椭圆曲线密码算法（Elliptic Curve Cryptography，ECC）所需的参数。以下是一些常用的椭圆曲线参数：

1. prime256v1（也称为secp256r1）：NIST P-256曲线，使用256位素数域。
2. secp384r1：NIST P-384曲线，使用384位素数域。
3. secp521r1：NIST P-521曲线，使用521位素数域。
4. secp256k1：用于比特币和其他加密货币的曲线，使用256位素数域。
5. sect283k1：SECG/WTLS曲线，使用283位素数域。
6. sect283r1：SECG/WTLS曲线，使用283位素数域。

你也可以使用以下命令来查看您的OpenSSL版本支持的所有椭圆曲线参数：

openssl ecparam -list_curves

这将列出您的OpenSSL版本支持的所有椭圆曲线参数。请注意，具体支持的参数取决于您所使用的OpenSSL版本。

2.1 制作ECC自签CA证书

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/cakey.pem #生成CA密钥，可以看到这里指定了secp3841r1椭圆曲线参数

在使用OpenSSL的ecparam命令生成ECC密钥时，可以使用以下参数：

1. -name <curve>：指定椭圆曲线的名称。例如，secp256r1表示使用NIST P-256曲线。

2. -out <filename>：指定生成的密钥文件的输出路径和名称。

3. -param_enc explicit|named_curve：指定参数编码方式。explicit表示使用显式参数编码，named_curve表示使用命名曲线。

4. -genkey：生成ECC密钥对。

5. -noout：不输出生成的密钥对。

openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/careq.pem -config /etc/ssl/openssl.cnf    #生成 CA 证书请求

在使用OpenSSL的req命令生成证书请求（CSR）时，可以使用以下参数：

1. -new：创建一个新的证书请求。

2. -key <keyfile>：指定私钥文件的路径和名称。

3. -out <csrfile>：指定生成的证书请求文件的输出路径和名称。

4. -config <configfile>：指定配置文件的路径和名称，其中包含了生成证书请求所需的配置信息。

5. -subj <subject>：指定证书主题（Subject）的信息。例如，/C=US/ST=California/L=San Francisco/O=Example Corp/CN=www.example.com。

6. -nodes：生成一个不加密的私钥文件。

7. -newkey <algorithm>:<keyfile>：使用指定的算法生成新的私钥文件。

8. -sha256：使用SHA-256哈希算法进行签名。

9. -days <num>：指定证书的有效期天数

openssl ca -selfsign -days 3650 -in ./demoCA/careq.pem -out demoCA/cacert.pem -extensions v3_ca   #自签发 CA 根证书

openssl ca -selfsign命令用于自签名证书。以下是一些常用的参数：

1. -in：指定要签名的证书请求文件。
2. -out：指定生成的自签名证书文件的路径和名称。
3. -keyfile：指定用于签名证书的私钥文件。
4. -cert：指定用于签名证书的证书文件。
5. -config：指定用于配置证书签名的配置文件。
6. -extensions：指定用于生成证书的扩展配置。
7. -startdate：指定证书的起始日期。
8. -enddate：指定证书的截止日期。
9. -days：指定证书的有效期天数。
10. -batch：启用批量模式，不会提示用户输入。
11. -passin：指定私钥密码的来源，例如文件或环境变量。
12. -subj：指定证书的主题（Subject）信息。
13. -subj_hash：使用主题哈希作为证书文件名。

这些参数可以根据你的具体需求进行调整。请注意，生成自签名证书需要有相应的私钥和配置文件

2.2 制作ecc中级CA 证书

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/eccinterca.key #生成interca密钥，可替换参数secp384r1

openssl req -new -sha256 -days 3650  -key ./demoCA/private/eccinterca.key -out ./demoCA/eccreq.pem -config /etc/ssl/openssl.cnf  #生成interca请求

openssl ca -in ./demoCA/eccreq.pem -out ./demoCA/newcerts/eccinter.pem -config /etc/ssl/openssl.cnf -extensions v3_ca   #签发interca证书

2.3制作ecc用户证书（根CA签发）

openssl ecparam -genkey -name secp384r1 -out ./demoCA/private/eccuserkey.pem #生成用户密钥

openssl req -new -days 3650  -key ./demoCA/private/eccuserkey.pem -out ./demoCA/eccusereq.pem -config /etc/ssl/openssl.cnf #生成用户证书请求

openssl ca -in ./demoCA/eccusereq.pem -out ./demoCA/newcerts/eccuser.pem -config /etc/ssl/openssl.cnf -extensions v3_ca #签发用户证书

2.4制作ecc用户证书（中级CA证签发）

openssl req -new -days 3650  -key ./demoCA/private/eccuserkey.pem -out ./demoCA/eccusereq2.pem -config /etc/ssl/openssl.cnf

openssl ca -md sha256 -days 3650 -in ./demoCA/eccusereq2.pem -out ./demoCA/newcerts/eccuser2.pem -cert ./demoCA/newcerts/eccinter.pem -keyfile ./demoCA/private/eccinterca.key -config /etc/ssl/openssl.cnf