OpenSSL 生成 SM2 密钥对和自签名证书-mfc42d-ChinaUnix博客

邢红瑞的bloghongrui.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

mfc42d

博客访问： 4232996
博文数量： 447
博客积分： 1241
博客等级：中尉
技术积分： 5786
用户组：普通用户
注册时间： 2011-01-27 06:48

个人简介

读好书，交益友

文章分类

全部博文（447）

前端技术（5）
docker&vm（11）
embedded（9）

RaspBerry P（1）

yocto（2）

buildroot（3）

openwrt（1）
openwrt（17）
ffmpeg（3）
极限健身（5）
外语学习（8）
big data（6）

elasticsearch（2）
移动平台（8）

android（5）
scala（3）
网络安全（20）

态势感知（1）
EDM（7）
编程语言（96）

rust（3）

golang（1）

javascript（1）

groovy（1）

javascript（1）

perl（4）

python（16）

java（32）

c++（34）
数据库（37）
编程感悟（21）
并发（1）
nginx（12）
工具使用（33）
生活杂事（21）
linux（92）

ebpf（1）
windows编程（14）
PKI（15）
IT职场（3）
未分配的博文（0）

文章存档

2024年（1）

2023年（5）

2022年（29）

2021年（49）

2020年（16）

2019年（15）

2018年（23）

2017年（67）

2016年（42）

2015年（51）

2014年（57）

2013年（52）

2012年（35）

2011年（5）

我的朋友

相关博文

OpenSSL 生成 SM2 密钥对和自签名证书

分类：网络与安全

2022-05-05 17:59:09

openssl 1.1.1 某个版本是支持sm2算法的，
运行
openssl ecparam -list_curves | grep SM2
返回
SM2 : SM2 curve over a 256 bit prime field

说明支持
1 生成SM2格式pri.key私钥

openssl ecparam -genkey -name SM2 -out pri.key

2 根据pri.key生成请求ca-req.csr
openssl req -new -out ca-req.csr -key pri.key
输入各种字段
3 生成公钥证书
openssl x509 -req -in ca-req.csr -out ca-cert.pem -signkey pri.key -days 3650
注意一定要是x509格式的，否则java的bc无法读取
4 生成pfx文件
openssl pkcs12 -export -clcerts -in ca-cert.pem -inkey pri.key -out cert.pfx

5 将私钥转为pem格式
openssl ec -in pri.key -out pri.pem
读取私钥的java代码

点击(此处)折叠或打开

package test;
import org.bouncycastle.cert.CertException;
import org.bouncycastle.jce.provider.BouncyCastleProvider;
import org.bouncycastle.openssl.PEMKeyPair;
import org.bouncycastle.openssl.PEMParser;
import org.bouncycastle.openssl.jcajce.JcaPEMKeyConverter;
import java.io.FileInputStream;
import java.io.InputStreamReader;
import java.security.PrivateKey;
import java.security.Security;
public class SM2Private {
public static PrivateKey readPrivateKeyPem(String privateKeyPemPath) throws CertException {
try {
PEMParser pemParser = new PEMParser(new InputStreamReader(new FileInputStream(privateKeyPemPath)));
Object readObject = pemParser.readObject();
if (readObject instanceof PEMKeyPair) {
PEMKeyPair key = (PEMKeyPair) readObject;
return new JcaPEMKeyConverter().setProvider(BouncyCastleProvider.PROVIDER_NAME).getKeyPair(key)
.getPrivate();
}
throw new CertException("read privateKey failed");
} catch (Exception e) {
throw new CertException("read privateKey failed", e);
}
}
public static void main(String[] args) throws CertException {
Security.addProvider(new BouncyCastleProvider());
PrivateKey privateKey = SM2Private.readPrivateKeyPem("d:/pki/pri.pem");
System.out.println(privateKey);
}
}

读取公钥的java代码

点击(此处)折叠或打开

Security.addProvider(new BouncyCastleProvider());
/**
* TODO
* 服务端验签代码，整体认证方案为挑战应答模式
* 1.后端生产随机数发送前端。
* 2.前端对随机数进行签名，并发送后端。
* 3.后端收到签名值结合随机数进行验签完成认证流程。
*/
//用户公钥，从证书中获取
PublicKey publicKey = null;
try {
byte[] key = Files.readAllBytes(Paths.get("D:\\pki", "ca-cert.pem"));
Security.addProvider(new BouncyCastleProvider());
final PemObject pemObject;
try (PemReader pemReader = new PemReader(new InputStreamReader(
new ByteArrayInputStream(key)))) {
pemObject = pemReader.readPemObject();
}
byte[] decoded = pemObject.getContent();
CertificateFactory cf =
CertificateFactory.getInstance("X.509", "BC");
InputStream inputStream = new ByteArrayInputStream(decoded);
Certificate certificate = cf.generateCertificate(inputStream);
publicKey = certificate.getPublicKey();
} catch (Exception e) {
e.printStackTrace();
}

阅读(4048) | 评论(0) | 转发(0) |

上一篇：openeuler安装mariadb

下一篇：好的软件是写出来的，不是测出来的

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6