openssl 'genpkey -algorithm RSA' vs. 'genrsa'

O genpkeycomando pode criar outros tipos de chaves privadas - DSA, DH, EC e talvez GOST - enquanto o genrsa, como o nome indica, gera apenas chaves RSA. Existem comandos equivalentes gendhe .gendsa

No entanto, a documentação do OpenSSL afirma que esses gen*comandos foram substituídos pelo genpkeycomando genérico.

No caso de seus exemplos, ambos geram chaves privadas RSA.

openssl genrsa -out genrsa.key 2048

e

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out genpkey.key

irá gerar uma chave RSA de 2048 bits com o expoente definido como 65537.

Simplesmente catos arquivos resultantes para ver se ambos são chaves privadas no formato PEM; embora openssl rsaos inclua BEGIN RSA PRIVATE KEYe END RSA PRIVATE KEYenquanto openssl genpkeyomita o RSA. O primeiro é o formato PKCS#1 , enquanto o último é PKCS#8 .

A execução openssl rsa text -in <filename>de ambos mostra que são chaves privadas RSA com o mesmo arquivo publicExponent. O genpkeycomando mais recente tem a opção de alterar isso usando -pkeyopt rsa_keygen_pubexp:valueenquanto o genrsacomando não tem essa opção.

Esteja ciente de que o Exim com suporte a DKIM não aceita diretamente as chaves privadas RSA geradas pelo openssl genpkey -algorithm rsa ...comando. O Exim espera que a chave privada use as linhas delimitadoras BEGIN RSA PRIVATE KEYe , conforme gerado por , e não / conforme gerado com .END RSA PRIVATE KEYopenssl genrsa ...BEGIN PRIVATE KEYEND PRIVATE KEYopenssl genpkey ...

O Exim falhará com a mensagem DKIM: signing failed (RC -101)no log de pânico ao enviar e-mail se as linhas delimitadoras estiverem erradas.