Android系统安全 — 1-OpenSSL生成密钥key和证书详解_android openssl 签名密钥生成

概念

在生成Key之前，你需要了解公钥、私钥的概念。

在非对称加密技术中，有两种密钥，分为私钥和公钥，私钥是密钥对所有者持有，不可公布，公钥是密钥对持有者公布给他人的。

公钥：公钥用来给数据加密，用公钥加密的数据只能使用私钥解密。

私钥：用来解密公钥加密的数据。

• DER的缩写是Distinguished Encoding Rules，以二进制形式存储Key。
• PEM的缩写是Privacy Enhanced Mail，以文本形式存储的Key，其实是DER Key的Base64形式。
• CSR 是Certificate Signing Request的缩写，即证书签名请求，这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。
• CER - 还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码。
• X.509 是一种证书格式.对X.509证书来说，认证者总是CA或由CA指定的人，一份X.509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。

生成KEY

OpenSSL支持RSA、DSA和ECDSA key，但不是所有的算法都可以适用所有场合。例如对于SSL Key，大家都用RSA，因为DSA Key实际上被限制为1024 bit，另外的ECDSA Key也还未被CA支持。

一、生成key的公私钥

openssl genrsa -out fd-private.pem 2048

fd-private.pem  是生产key的名称可随意 ，2048是生成密钥的长度，这是PKCS1格式的Private Key

从Private Key生成Public Key

openssl rsa -in /Desktop/fd-private.pem -pubout -out /Desktop/fd-public.pem

PKCS1(该格式一般net和IOS用)私钥转换为PKCS8(该格式一般java调用)

openssl pkcs8 -topk8 -inform PEM -in /Desktop/fd-private.pem -outform pem -nocrypt -out /Desktop/fd-private-pkcs8.pem

pem和der格式转换

openssl rsa -inform PEM -in fd.pem -outform DER -out fd.der

openssl rsa -inform DER -in fd.der -outform PEM -out fd.pem

二、生成cer证书

openssl req -new -x509 -key fd-private.pem -out fd-private.cer -days 3650 -subj /CN=baidu.com

fd-private.key为之前生成的key的名字，fd-private.cer为生成的证书名字，3650为证书过期天数，CN的参数baidu.com是的你主机名或者IP地址。​