---

Windows 下 OpenSSL 详细介绍与入门教程

前言：数字世界的守护者——OpenSSL

在当今数字化高度发达的世界中，信息的安全与隐私变得前所未有的重要。无论是浏览网页、发送电子邮件、进行在线交易，还是服务器之间的通信，我们几乎无时无刻不在依赖着加密技术来保护数据的机密性、完整性和真实性。而在这众多加密工具和库中，OpenSSL 无疑是最为著名、功能最为强大且应用最为广泛的一个。

OpenSSL 是一个开源的、强大的安全套接字层（SSL）和传输层安全（TLS）协议的实现库，它包含了丰富的加密算法库以及一个用于生成密钥、证书、处理加密操作的命令行工具。它为各种网络通信和数据处理提供了坚实的安全基础，是无数服务器软件（如 Apache、Nginx）、客户端软件（如浏览器、邮件客户端）以及各类安全工具的核心组成部分。

虽然 OpenSSL 最初主要在 Linux/Unix 环境中广泛应用，但由于其功能的强大和不可替代性，在 Windows 平台下使用 OpenSSL 的需求也日益增多，无论是开发者需要其库来构建安全的应用程序，还是系统管理员需要其命令行工具来管理证书、进行故障排除，甚至是一般的IT爱好者想要了解和实践加密技术，OpenSSL 都是一个绕不开的工具。

然而，与 Linux/Unix 系统通常内置或者可以方便地通过包管理器安装 OpenSSL 不同，Windows 系统本身并不包含 OpenSSL，而且 OpenSSL 项目官方也不直接提供 Windows 平台的预编译二进制文件。这使得在 Windows 下获取和使用 OpenSSL 相对来说门槛稍微高一些，但幸运的是，有许多第三方组织或个人提供了可靠的 OpenSSL Windows 版本，并且一旦安装配置好，其命令行工具的使用体验与在其他平台上大同小异。

本篇文章旨在为 Windows 用户提供一份 OpenSSL 的详细介绍与入门教程。我们将从零开始，讲解 OpenSSL 是什么、它能做什么、如何在 Windows 系统下安全可靠地安装 OpenSSL，并通过大量实例详细演示如何使用 OpenSSL 的命令行工具执行常见的加密任务，如生成密钥、证书、CSR、进行文件加解密、计算哈希等。无论您是开发者、系统管理员还是对信息安全感兴趣的普通用户，希望本文能帮助您在 Windows 平台上轻松掌握 OpenSSL 的基本使用。

第一部分：认识 OpenSSL——它是什么？它能做什么？

1. OpenSSL 的核心：库与工具集

OpenSSL 实际上包含两个主要部分：

• 加密库 (libcrypto, libssl): 这是 OpenSSL 的核心。libcrypto 提供了各种基础的加密算法实现，包括对称加密（如 AES, DES, ChaCha20）、非对称加密（如 RSA, ECC, Diffie-Hellman）、哈希函数（如 SHA-256, MD5）、消息认证码（如 HMAC）等。libssl 则基于 libcrypto 实现了 SSL/TLS 协议，负责处理连接的建立、证书的验证、数据的加密传输等网络安全通信细节。大多数需要安全通信的应用程序会链接这些库来利用 OpenSSL 的功能。
• 命令行工具 (openssl.exe): 这是一个功能强大的命令行接口，允许用户直接调用 OpenSSL 库的功能，而无需编写代码。通过 openssl 命令，我们可以方便地进行密钥管理、证书管理、加密解密文件、测试 SSL/TLS 连接等操作。对于初学者以及需要快速进行安全操作的用户来说，这是最常用的部分。本教程的重点也将放在这个命令行工具的使用上。

2. OpenSSL 的主要功能与应用场景

OpenSSL 凭借其强大的功能集，在各种安全相关的场景中发挥着关键作用：

• SSL/TLS 通信: 这是 OpenSSL 最核心的应用。它为 HTTPS、SMTPS、FTPS 等安全协议提供底层支持，确保网络通信的加密和身份验证。
• 密钥生成与管理: 可以生成各种类型的密钥对（RSA, ECC, DSA），管理私钥的安全存储（加密私钥）。
• 证书管理:
  • 生成证书签名请求（CSR），用于向证书颁发机构（CA）申请数字证书。
  • 生成自签名证书，用于测试或内部用途。
  • 查看、解析和验证数字证书、CSR 的内容。
  • 转换证书和密钥的格式（PEM, DER, PKCS#12）。
• 数据加密与解密: 使用对称或非对称加密算法对文件或数据流进行加密和解密。
• 哈希计算与校验: 计算文件的哈希值（数字指纹），用于验证文件的完整性。
• 数字签名与验证: 使用私钥对数据进行签名，使用公钥验证签名的有效性，确保数据的来源和完整性。
• SSL/TLS 连接诊断: s_client 工具可以模拟客户端连接到 SSL/TLS 服务器，显示连接详情、证书信息，用于故障排除和安全分析。
• 随机数生成: 提供高质量的伪随机数生成器，用于密钥生成等加密操作。

简而言之，OpenSSL 是构建和维护安全系统的基石之一。

第二部分：在 Windows 上安装 OpenSSL

如前所述，OpenSSL 官方不提供 Windows 二进制版本。我们需要从可靠的第三方来源获取预编译的版本。目前比较流行且推荐的来源包括：

1. Shining Light Productions: 这是一个长期提供 Windows 版本 OpenSSL 的网站，提供 GUI 安装程序，安装过程相对简单。缺点是更新可能不会像最新官方版本那么快。
2. OpenSSL 项目的 Wiki 页面推荐的来源: OpenSSL 官方 Wiki 上列出了一些推荐的第三方构建，可以作为参考。
3. 包管理器: 如果您使用 Windows 的包管理器（如 vcpkg, Chocolatey, Scoop），也可以通过它们来安装 OpenSSL，这对于开发者来说可能更方便集成到构建环境中。

本教程以 Shining Light Productions 提供的版本为例进行演示，因为它提供了一个标准的 Windows 安装程序，对初学者比较友好。

安装步骤：

1. 访问下载页面: 打开浏览器，访问 Shining Light Productions 的 OpenSSL 下载页面。通常是 https://slproweb.com/products/Win32OpenSSL.html 或类似地址。
2. 选择版本: 您会看到不同版本的 OpenSSL 可供下载（例如 Win64 OpenSSL vX.Y.Z）。
   • 选择 Win64 (64位) 版本: 如果您的 Windows 系统是 64 位，请选择 64 位版本。这是目前大多数现代系统的选择。
   • 选择有/无 vcredist 的版本: 带有 “vcredist” 字样的版本包含了微软 Visual C++ 可再发行组件库，如果没有安装这些库（通常是新安装的系统或者精简版系统），选择包含的版本会更省事。如果您的系统已经安装了常用运行库，可以选择不包含 vcredist 的版本，文件会小一些。不确定的话，选择包含 vcredist 的版本更安全。
   • 选择最新稳定版本: 通常建议选择最新的稳定版本（LTS – Long Term Support 更好），以获得最新的功能和安全补丁。
3. 下载安装程序: 点击您选择版本的链接下载 .exe 安装文件。例如 Win64OpenSSL-3_0_12.exe (版本号会随时间变化)。
4. 运行安装程序: 找到下载的 .exe 文件，双击运行。
   • 可能会出现用户账户控制（UAC）提示，点击“是”允许运行。
   • 同意许可协议。
   • 选择安装位置：可以选择默认位置（通常是 C:\Program Files\OpenSSL-Win64 或 C:\OpenSSL-Win64）或者指定其他位置。建议记住或记下这个安装路径，稍后会用到。
   • 选择组件：默认通常是完整安装，保持默认即可。
   • 关键步骤：选择将 OpenSSL DLLs 复制到何处。 这是决定 OpenSSL 是否能在命令行直接使用的关键。
     • 选项一：The OpenSSL binaries (/bin) directory. （推荐）选择此选项，OpenSSL 的动态链接库（DLLs）将被复制到 OpenSSL 安装目录下的 bin 文件夹。然后我们需要将这个 bin 文件夹路径添加到系统的 PATH 环境变量中。
     • 选项二：The Windows system directory. （不推荐）选择此选项会将 DLLs 复制到 C:\Windows\System32 目录。虽然这样可以直接在命令行使用，但污染了系统目录，且多个程序安装不同版本的 DLLs 可能导致冲突，不符合现代软件管理的最佳实践。
     • 选择第一个选项，复制到 /bin 目录。
   • 完成安装向导。

配置环境变量 (PATH)

为了能在任何命令提示符或 PowerShell 窗口中直接运行 openssl 命令，需要将 OpenSSL 安装目录下的 bin 文件夹路径添加到系统的 PATH 环境变量中。

1. 打开系统属性:
   • 在 Windows 10/11 中，右键点击“此电脑” -> “属性”。或者在搜索框输入“环境变量”并选择“编辑系统环境变量”。
   • 在弹出的“系统属性”窗口中，点击右下角的“环境变量”按钮。
2. 编辑系统变量:
   • 在“环境变量”窗口下方的“系统变量”列表中，找到名为 Path (或 PATH) 的变量，选中它，然后点击“编辑”按钮。
3. 添加 OpenSSL Bin 路径:
   • 在“编辑环境变量”窗口中：
     • Windows 10/11: 点击“新建”，然后输入您的 OpenSSL 安装路径下的 bin 文件夹的完整路径。例如，如果您安装在 C:\Program Files\OpenSSL-Win64，则输入 C:\Program Files\OpenSSL-Win64\bin。然后点击“确定”。
     • Windows 7/8: 在“变量值”文本框的末尾，添加一个分号 ;，然后输入 OpenSSL bin 文件夹的完整路径。例如，...;C:\Program Files\OpenSSL-Win64\bin。然后点击“确定”。
   • 连续点击“确定”关闭所有打开的窗口（环境变量、系统属性）。

验证安装

安装并配置好环境变量后，打开一个新的命令提示符 (cmd) 或 PowerShell 窗口。注意：如果在配置环境变量之前已经打开了命令行窗口，需要关闭并重新打开才能使更改生效。

在新的命令行窗口中输入以下命令：

bash
openssl version

如果一切顺利，您应该能看到类似以下的输出，显示安装的 OpenSSL 版本信息：

OpenSSL 3.0.12 9 Nov 2023 (Library: OpenSSL 3.0.12 9 Nov 2023)

如果出现 'openssl' 不是内部或外部命令，也不是可运行的程序或批处理文件 的错误，说明 PATH 环境变量没有配置正确。请仔细检查 OpenSSL bin 目录的路径是否正确，以及是否已将其添加到 Path 变量中，并确保重新打开了命令行窗口。

至此，您已成功在 Windows 上安装并配置好了 OpenSSL 命令行工具，可以开始使用了！

第三部分：OpenSSL 命令行工具入门与常用命令详解

OpenSSL 的命令行语法遵循 openssl <command> [options] [arguments] 的基本结构。<command> 指定要执行的操作（如 genrsa, req, x509, enc 等），[options] 用于修改命令的行为，[arguments] 则是命令操作的对象（如输入文件、输出文件）。

接下来，我们将通过一系列实例来演示 OpenSSL 的常用功能。

1. 生成私钥 (Generating Private Keys)

私钥是非对称加密的核心，用于加密数据、创建数字签名。OpenSSL 支持多种算法生成私钥，最常见的是 RSA 和 ECC。

1.1 生成 RSA 私钥

RSA 是目前应用最广泛的非对称加密算法之一。生成 RSA 私钥通常指定密钥长度，例如 2048 位或 4096 位（位数越多越安全，但计算量更大）。

命令: openssl genrsa

示例：生成一个 2048 位的 RSA 私钥，并将其保存到 mykey.pem 文件中：

bash
openssl genrsa -out mykey.pem 2048

• -out mykey.pem: 指定输出文件名为 mykey.pem。.pem 格式是 OpenSSL 常用的文本格式，通常包含 -----BEGIN RSA PRIVATE KEY----- 和 -----END RSA PRIVATE KEY----- 标记。
• 2048: 指定密钥的长度为 2048 位。

执行命令后，会生成私钥文件 mykey.pem。

示例：生成一个 4096 位的 RSA 私钥，并使用 AES-256 加密私钥（需要设置密码）：

bash
openssl genrsa -aes256 -out mykey_encrypted.pem 4096

• -aes256: 使用 AES-256 算法加密私钥文件。
• 执行命令后，会提示输入一个“pass phrase”（密码）。这个密码非常重要，每次使用这个加密的私钥时都需要输入。

注意： 加密的私钥更安全，但使用时需要输入密码，可能会影响自动化脚本。不加密的私钥（使用 -nodes 选项，见下文）方便使用，但必须确保文件本身的安全性。

1.2 生成通用私钥 (Using genpkey)

genpkey 命令是更现代、更通用的私钥生成命令，可以生成多种类型的密钥（包括 RSA 和 ECC）。

命令: openssl genpkey

示例：生成一个 2048 位的 RSA 私钥，不加密（-nodes）：

bash
openssl genpkey -algorithm RSA -out mykey_unencrypted.pem -pkeyopt rsa_keygen_bits:2048

• -algorithm RSA: 指定算法为 RSA。
• -out mykey_unencrypted.pem: 指定输出文件。
• -pkeyopt rsa_keygen_bits:2048: 指定 RSA 密钥的长度。
• -nodes: 重要选项，表示不加密私钥（No DES, though it applies to any encryption）。

示例：生成一个 ECC 私钥 (例如使用 secp384r1 曲线)：

bash
openssl genpkey -algorithm EC -out mykey_ec.pem -pkeyopt ec_paramgen_curve:secp384r1 -nodes

• -algorithm EC: 指定算法为椭圆曲线（EC）。
• -pkeyopt ec_paramgen_curve:secp384r1: 指定使用的椭圆曲线。

2. 从私钥中提取公钥 (Extracting Public Key)

公钥是非对称加密的另一半，可以公开。它用于加密发送给私钥持有者的数据，或者验证由私钥创建的签名。

命令: openssl rsa (用于 RSA 私钥), openssl pkey (用于通用私钥)

示例：从 mykey.pem (RSA 私钥) 中提取公钥，保存到 mypublickey.pem：

bash
openssl rsa -in mykey.pem -pubout -out mypublickey.pem

• -in mykey.pem: 指定输入文件（私钥）。
• -pubout: 指定输出格式为公钥。
• -out mypublickey.pem: 指定输出文件。

如果私钥 mykey.pem 是加密的，执行命令时会提示输入密码。

示例：从 mykey_ec.pem (ECC 私钥) 中提取公钥，保存到 mypublickey_ec.pem：

bash
openssl pkey -in mykey_ec.pem -pubout -out mypublickey_ec.pem

• pkey 命令是处理各种私钥/公钥的通用命令。

3. 生成证书签名请求 (Generating Certificate Signing Request – CSR)

CSR 是向证书颁发机构（CA）申请数字证书时需要提交的文件。它包含了公钥、申请者的身份信息（如组织名、域名等），并用对应的私钥进行签名。

命令: openssl req

示例：使用 mykey.pem 私钥生成一个 CSR，保存到 mycsr.csr：

bash
openssl req -new -key mykey.pem -out mycsr.csr

• -new: 表示生成新的 CSR。
• -key mykey.pem: 指定用于签名 CSR 的私钥文件。
• -out mycsr.csr: 指定输出文件。

执行命令后，OpenSSL 会进入一个交互式过程，要求您输入一系列信息来填充 CSR 中的主题（Subject）字段。这些信息通常包括：

• Country Name (2 letter code) [AU]: 国家代码 (如 CN, US)。
• State or Province Name (full name) [Some-State]: 省/州。
• Locality Name (eg, city) []: 城市。
• Organization Name (eg, company) [Internet Widgits Pty Ltd]: 组织/公司名称。
• Organizational Unit Name (eg, section) []: 组织单位（可选，如 IT Department）。
• Common Name (e.g. server FQDN or YOUR name) []: 通用名称 (Common Name – CN)。对于服务器证书，这是非常重要的，通常是服务器的完全限定域名 (FQDN)，例如 www.example.com。对于个人证书，可以是您的姓名。
• Email Address []: 邮箱地址（可选）。
• A challenge password []: 挑战密码（可选，不推荐设置，留空即可）。
• An optional company name []: 可选的公司名称（可选，留空即可）。

输入完所有信息并回车后，OpenSSL 会生成 mycsr.csr 文件。您可以将这个文件提交给 CA 来申请正式的证书。

示例：使用 -subj 选项在命令行中直接指定主题信息（非交互式）：

bash
openssl req -new -key mykey.pem -out mycsr_auto.csr -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=MyOrg/OU=IT Dept/CN=www.example.com"

• -subj "/C=.../.../...": 使用 /Attribute=Value 的格式直接指定主题信息。这对于自动化脚本非常有用。

4. 生成自签名证书 (Generating Self-Signed Certificates)

自签名证书是由其自己的私钥签名的证书，而不是由信任的 CA 签名。它们不适用于公开的服务（浏览器会警告不信任），但非常适合内部测试、开发环境或某些特定的内部应用。

生成自签名证书通常是利用 openssl req 命令并结合 -x509 选项。

命令: openssl req

示例：使用 mykey.pem 私钥生成一个为期 365 天的自签名证书，保存到 mycert.crt：

bash
openssl req -x509 -new -nodes -key mykey.pem -sha256 -days 365 -out mycert.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=MyTestOrg/CN=localhost"

• -x509: 指定输出一个自签名证书（X.509 格式）。这个选项改变了 req 命令的行为。
• -new: 表示生成新的请求 (在这个上下文中意味着新的证书)。
• -nodes: 不加密私钥 (方便测试，但实际应用中若私钥用于重要服务，可能需要加密)。
• -key mykey.pem: 指定用于签名的私钥。
• -sha256: 指定签名时使用的哈希算法（推荐 SHA-256 或更高）。
• -days 365: 指定证书的有效期（天）。
• -out mycert.crt: 指定输出文件。.crt 或 .cer 是常用的证书文件后缀。
• -subj "/C=.../.../...": 指定证书的主题信息，与生成 CSR 类似。这里我们设置为 CN=localhost 适用于本地测试。

执行命令后，会直接生成 mycert.crt 文件。

5. 查看证书、CSR 或密钥的内容 (Viewing Details)

了解证书、CSR 或密钥的具体内容对于验证信息、调试问题非常重要。

命令: openssl x509 (用于证书), openssl req (用于 CSR), openssl rsa 或 pkey (用于密钥)

示例：查看证书 mycert.crt 的详细信息：

bash
openssl x509 -in mycert.crt -text -noout

• -in mycert.crt: 指定输入文件（证书）。
• -text: 以文本格式显示证书内容。
• -noout: 不要输出编码后的证书本身，只显示文本信息。

输出会包含证书的版本、序列号、签名算法、颁发者（Issuer，自签名证书的颁发者和主题通常一样）、主题（Subject）、有效期、公钥信息、扩展信息等。

示例：查看 CSR mycsr.csr 的详细信息：

bash
openssl req -in mycsr.csr -text -noout

• 与查看证书类似，只是使用 req 命令。

输出会包含 CSR 的版本、主题信息、公钥信息、属性以及签名信息。

示例：查看私钥 mykey.pem 的信息：

bash
openssl rsa -in mykey.pem -text -noout

• -in mykey.pem: 指定输入私钥文件。
• -text -noout: 显示文本信息。

输出会包含私钥的版本、模数、指数等信息。如果私钥已加密，会提示输入密码。

示例：查看通用私钥 mykey_ec.pem 的信息：

bash
openssl pkey -in mykey_ec.pem -text -noout

6. 格式转换 (Format Conversion)

OpenSSL 支持多种证书和密钥格式。最常见的是 PEM（Privacy Enhanced Mail，Base64 编码，文本文件，.pem, .crt, .cer, .key 后缀）和 DER（Distinguished Encoding Rules，二进制编码，.der, .cer 后缀）。PKCS#12（.p12, .pfx 后缀）是一种常用的格式，用于在一个文件中同时存储私钥及其对应的证书链，通常需要密码保护。

6.1 PEM 转 DER

示例：将 PEM 格式的证书 mycert.crt 转换为 DER 格式，保存到 mycert.der：

bash
openssl x509 -in mycert.crt -outform DER -out mycert.der

• -in mycert.crt: 输入 PEM 格式证书。
• -outform DER: 指定输出格式为 DER。
• -out mycert.der: 输出 DER 格式证书。

6.2 DER 转 PEM

示例：将 DER 格式的证书 mycert.der 转换为 PEM 格式，保存到 mycert_from_der.pem：

bash
openssl x509 -in mycert.der -inform DER -outform PEM -out mycert_from_der.pem

• -inform DER: 指定输入格式为 DER。
• -outform PEM: 指定输出格式为 PEM (默认)。

6.3 PEM 密钥格式转换 (例如 RSA 私钥 PEM 转换为 PKCS#8 PEM)

不同的软件可能需要不同格式的 PEM 私钥。常见的有传统的 OpenSSL 格式和更标准的 PKCS#8 格式。

示例：将传统格式的 RSA 私钥 mykey.pem 转换为 PKCS#8 格式，加密保存到 mykey_pkcs8.pem：

bash
openssl pkcs8 -topk8 -inform PEM -outform PEM -in mykey.pem -out mykey_pkcs8.pem -aes256

• pkcs8: 使用 pkcs8 命令。
• -topkcs8: 表示输出为 PKCS#8 格式。
• -inform PEM -outform PEM: 输入输出都是 PEM 格式。
• -in mykey.pem: 输入原始私钥。
• -out mykey_pkcs8.pem: 输出 PKCS#8 格式私钥。
• -aes256: 使用 AES-256 加密输出文件（会提示输入密码）。

6.4 生成 PKCS#12 文件 (.pfx/.p12)

PKCS#12 文件常用于在 Windows 环境中导入证书和私钥，例如导入到浏览器的证书管理器或 IIS 服务器。它将私钥和对应的证书链打包在一起。

命令: openssl pkcs12

示例：将私钥 mykey.pem 和证书 mycert.crt 打包成一个 PKCS#12 文件 mycert.pfx：

bash
openssl pkcs12 -export -in mycert.crt -inkey mykey.pem -out mycert.pfx -name "My Certificate"

• -export: 表示要创建 PKCS#12 文件。
• -in mycert.crt: 指定输入的证书文件。
• -inkey mykey.pem: 指定输入的私钥文件。
• -out mycert.pfx: 指定输出的 PKCS#12 文件名。.pfx 和 .p12 是常用的后缀。
• -name "My Certificate": 为证书和密钥对指定一个友好的名称，在导入时会显示。
• 执行命令时会提示设置一个导出密码，这个密码用于保护整个 .pfx 文件。

示例：从 PKCS#12 文件 mycert.pfx 中提取私钥和证书：

bash
openssl pkcs12 -in mycert.pfx -nodes -out extracted.pem

• -in mycert.pfx: 指定输入的 PKCS#12 文件。
• -nodes: 提取的私钥不加密。如果要加密，去掉 -nodes 选项并加上 -des3 或 -aes256 等加密选项。
• -out extracted.pem: 指定输出文件。这个文件将包含私钥和证书，都是 PEM 格式，用 -----BEGIN...----- 分隔。
• 执行命令时会提示输入 PKCS#12 文件的导出密码。

7. 文件加密与解密 (File Encryption/Decryption)

OpenSSL 可以使用对称或非对称加密算法对文件进行加密和解密。

7.1 对称加密/解密文件

使用一个密钥对文件进行加密，然后使用同一个密钥进行解密。

命令: openssl enc

示例：使用 AES-256-CBC 算法加密文件 plaintext.txt，保存到 ciphertext.enc：

bash
openssl enc -aes-256-cbc -in plaintext.txt -out ciphertext.enc

• -aes-256-cbc: 指定加密算法和模式。
• -in plaintext.txt: 输入要加密的文件。
• -out ciphertext.enc: 输出加密后的文件。
• 执行命令时会提示设置一个加密密码（pass phrase），这个密码用于派生加密密钥。

示例：使用 AES-256-CBC 算法解密文件 ciphertext.enc，保存到 decrypted.txt：

bash
openssl enc -aes-256-cbc -d -in ciphertext.enc -out decrypted.txt

• -d: 指定进行解密操作。
• 输入文件、输出文件和算法需要与加密时一致。
• 执行命令时会提示输入加密时设置的密码。

注意： 这种方法简单，但密码管理是个问题。更安全的做法是使用密钥文件或结合随机生成的密钥。

7.2 非对称加密/解密文件 (信封加密)

非对称加密速度慢，不适合直接加密大文件。常用的方法是“信封加密”：使用一个随机生成的对称密钥加密实际数据，然后使用接收者的公钥加密这个对称密钥。接收者用自己的私钥解密对称密钥，再用对称密钥解密数据。OpenSSL 的 rsautl 或 pkeyutl 命令可以用来加密/解密少量数据（如对称密钥）。

示例 (简化)：使用公钥加密少量数据，私钥解密：

“`bash

将要加密的数据写入文件 (实际中这可能是对称密钥)

echo “This is a secret message” > secret.txt

使用公钥加密文件内容 (rsautl 命令更适合小数据块，如密钥)

openssl pkeyutl -encrypt -in secret.txt -pubin -inkey mypublickey.pem -out secret.enc

使用私钥解密加密后的文件内容

openssl pkeyutl -decrypt -in secret.enc -inkey mykey.pem -out secret_decrypted.txt
“`

• pkeyutl: 通用密钥工具。
• -encrypt/-decrypt: 指定加密或解密操作。
• -in/-out: 输入输出文件。
• -pubin: 输入文件包含公钥。
• -inkey: 指定用于操作的密钥文件（加密用公钥，解密用私钥）。
• 注意：-inkey 可以是公钥或私钥文件，-pubin 和 -privin 等选项用于明确指定文件中的内容类型。

8. 计算文件哈希值 (Calculating File Hashes)

哈希函数用于计算数据的固定长度的摘要，常用于验证文件的完整性。任何对文件的修改都会导致哈希值变化。

命令: openssl dgst

示例：计算文件 mycert.crt 的 SHA-256 哈希值：

bash
openssl dgst -sha256 mycert.crt

• -sha256: 指定使用 SHA-256 算法。其他常用算法包括 -md5, -sha1, -sha512 等。
• mycert.crt: 输入文件。

输出示例：

SHA256(mycert.crt)= abcd123...

9. 验证签名 (Verifying Signatures)

数字签名用于验证数据的来源和完整性。签名由私钥创建，用对应的公钥进行验证。

命令: openssl dgst -verify

这个过程通常包括三个步骤：
1. 计算原始数据的哈希值。
2. 使用私钥对哈希值进行加密（签名）。
3. 验证时，计算接收到数据的哈希值，并使用发送者的公钥解密签名，比较两个哈希值是否一致。

OpenSSL 的 dgst -sign 和 dgst -verify 命令可以执行这些步骤。

示例：
假设您有一个原始文件 data.txt，其签名文件 data.sig (由私钥签名)，以及发送者的公钥 sender_publickey.pem。

“`bash

1. 计算data.txt的哈希值并用私钥签名 (假设已由发送者执行)

openssl dgst -sha256 -sign sender_privatekey.pem -out data.sig data.txt

2. 在接收方，计算接收到的data.txt的哈希值，并用公钥验证签名

openssl dgst -sha256 -verify sender_publickey.pem -signature data.sig data.txt
“`

• -sha256: 指定哈希算法，必须与签名时使用的算法一致。
• -verify sender_publickey.pem: 指定使用哪个公钥进行验证。
• -signature data.sig: 指定签名文件。
• data.txt: 指定被签名的数据文件。

如果签名有效，输出 Verified OK。如果签名无效（数据或签名被篡改），输出 Verification Failure。

10. 连接到 SSL/TLS 服务器 (Connecting to SSL/TLS Servers)

s_client 是一个非常有用的工具，可以模拟 SSL/TLS 客户端连接到服务器，用于测试服务器的 SSL/TLS 配置、查看服务器证书信息、进行故障排除等。

命令: openssl s_client

示例：连接到 www.baidu.com 的 HTTPS 端口 443，并显示服务器证书信息：

bash
openssl s_client -connect www.baidu.com:443

执行命令后，OpenSSL 会尝试建立 SSL/TLS 连接，并输出大量的连接详情信息，包括：
* 协议版本和加密套件 (Cipher Suite)。
* 服务器证书链。
* 证书的详细信息。
* 如果连接成功，您可以像使用 telnet 一样输入 HTTP 请求（例如 GET / HTTP/1.1 然后按两次回车），服务器会返回内容。
* 输入 QUIT 并回车可以关闭连接。

示例：只显示服务器证书，不进行交互：

bash
openssl s_client -connect www.baidu.com:443 -showcerts < /dev/null

• -showcerts: 显示整个证书链。
• < /dev/null: 在 Linux/Unix 下表示将 /dev/null 作为标准输入，防止 s_client 进入交互模式。在 Windows 的命令提示符 (cmd) 下，可以使用 < nul；在 PowerShell 下，可以使用 < $null。或者干脆不加这个，手动输入 QUIT 退出。

示例：检查网站是否支持 TLSv1.2 或 TLSv1.3：

bash
openssl s_client -connect www.baidu.com:443 -tls1_2
openssl s_client -connect www.baidu.com:443 -tls1_3

• -tls1_2, -tls1_3: 指定只尝试使用特定的 TLS 版本连接。

第四部分：常见问题与故障排除

• 'openssl' 不是内部或外部命令...: 检查 PATH 环境变量是否已正确设置 OpenSSL bin 目录，并确保在修改环境变量后重新打开了命令行窗口。
• 命令执行错误: OpenSSL 的错误信息有时比较晦涩。仔细阅读错误信息，通常会指示问题所在，例如文件不存在、权限问题、密码错误、格式错误等。
• 密码输入问题: OpenSSL 提示输入的“pass phrase”是密码。输入时命令行窗口可能不会显示输入内容（出于安全考虑）。
• 文件格式错误: 确保输入文件的格式（PEM, DER, PKCS#12）与命令的 -inform 选项匹配，或者 OpenSSL 能自动识别。输出格式由 -outform 指定。PEM 文件通常以 -----BEGIN...----- 开头。
• 权限问题: 确保当前用户对输入/输出文件所在的目录有读写权限。
• 配置文件: OpenSSL 许多高级功能和默认行为受配置文件（通常是 openssl.cnf）控制。在 Windows 上，OpenSSL 会查找某些特定位置的配置文件，或者可以通过环境变量 OPENSSL_CONF 指定配置文件路径。对于入门，通常不需要修改配置文件。

第五部分：更进一步的学习

本文仅仅介绍了 OpenSSL 命令行工具的基础和常用功能。OpenSSL 是一个庞大而复杂的工具集，还有许多更高级的命令和选项，例如：

• crl: 管理证书吊销列表（CRL）。
• ts: 实现时间戳协议。
• verify: 用于验证证书链的有效性。
• 各种加密算法的详细选项和模式。
• 配置文件的编写和使用。
• 使用 OpenSSL 库进行程序开发。

要深入学习，建议查阅 OpenSSL 官方文档（尽管可能更侧重于 Linux/Unix 环境），或者搜索特定的用例教程。熟练掌握 OpenSSL 命令行工具的最佳方法是通过实践，尝试不同的命令和选项，理解其工作原理。

总结

OpenSSL 是信息安全领域不可或缺的工具，掌握其使用对于任何涉及网络安全、数据加密或证书管理的 IT 专业人士都至关重要。虽然在 Windows 上安装 OpenSSL 需要一些额外的步骤，但通过从可靠来源获取预编译版本并正确配置环境变量，我们可以轻松地在 Windows 环境下使用这个强大的命令行工具。

本教程详细介绍了 OpenSSL 的基础概念、在 Windows 上的安装方法以及生成密钥、CSR、自签名证书、格式转换、文件加解密、哈希计算和 SSL/TLS 连接测试等常用命令。希望这些内容能帮助您迈出在 Windows 下使用 OpenSSL 的第一步。记住，安全是一个持续学习和实践的过程，不断探索 OpenSSL 的更多功能，将有助于您更好地理解和应用现代密码学技术。

祝您学习顺利！

---