openssl中-nodes参数的目的是什么？

-nodesopenssl 中该参数的目的是什么？

该选项-nodes不是英语单词“ nodes”，而是“ no DES”。当作为参数给出时，这意味着OpenSSL不会加密PKCS＃12文件中的私钥。

要加密私钥，可以省略-nodes，您的密钥将使用3DES-CBC进行加密。要加密密钥，OpenSSL会提示您输入密码，并使用该密码通过密钥派生函数EVP_BytesToKey生成加密密钥。

根据您的OpenSSL版本和编译选项，您可能可以提供以下选项来代替-nodes：

-des          encrypt private keys with DES
-des3         encrypt private keys with triple DES (default)
-idea         encrypt private keys with idea
-seed         encrypt private keys with seed
-aes128, -aes192, -aes256
              encrypt PEM output with cbc aes
-camellia128, -camellia192, -camellia256
              encrypt PEM output with cbc camellia

最终，在库级别，OpenSSL 使用您选择的加密算法（或缺少加密算法）调用PEM_write_bio_PrivateKey函数。

编辑： nginx v1.7.3添加了一个ssl_password_file指令，该指令从指定文件中读取密码短语，并尝试使用上下文的crypto -private.key上的每个密码短语

indiv是正确的，因为该-nodes参数意味着OpenSSL将创建UNencrypted private.key ; 否则，将出现一个密码短语提示来创建cryptod-private.key。参见req，pkcs12，CA.pl

但是，我觉得目的（对于程序员）是因为：

• 没有密码短语的HTTP服务器（例如Apache，Nginx）无法读取cryptod-private.key →
  • 选项A-每次HTTP服务器启动时，都必须提供crypto -private.key的密码
  • 选项B- ssl_password_file file.keys;在http { }或server { }上下文中指定。[ 参考 ]
  • 选项C- -nodes用于创建不加密的private.key

有用：锁定private.key

• {将HTTP服务器添加到ssl-cert组}
• sudo chown root:ssl-cert private.key- CH安格自己的ER private.key以根用户，SSL证书组
• sudo chmod 640 private.key-将private.key的访问权限更改为所有者R / W，组R
• 现在，HTTP服务器应该能够启动并读取未加密的private.key

选项A

更高的安全性，但是在服务器重新启动时，必须手动输入用于加密的private.key的密码

选项B

安全性中等，空调之间可能达到良好的平衡

选项C

安全性较弱，但未提示输入未加密的private.key密码