projects / openssl.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
history | raw | HEAD
Remove SSLeay history, etc., from docs
[openssl.git] / doc / apps / genpkey.pod
1 =pod
2
3 =head1 NAME
4
5 genpkey - generate a private key
6
7 =head1 SYNOPSIS
8
9 B<openssl> B<genpkey>
10 [B<-out filename>]
11 [B<-outform PEM|DER>]
12 [B<-pass arg>]
13 [B<-cipher>]
14 [B<-engine id>]
15 [B<-paramfile file>]
16 [B<-algorithm alg>]
17 [B<-pkeyopt opt:value>]
18 [B<-genparam>]
19 [B<-text>]
20
21 =head1 DESCRIPTION
22
23 The B<genpkey> command generates a private key.
24
25 =head1 OPTIONS
26
27 =over 4
28
29 =item B<-out filename>
30
31 the output filename. If this argument is not specified then standard output is
32 used.
33
34 =item B<-outform DER|PEM>
35
36 This specifies the output format DER or PEM.
37
38 =item B<-pass arg>
39
40 the output file password source. For more information about the format of B<arg>
41 see the B<PASS PHRASE ARGUMENTS> section in L<openssl(1)>.
42
43 =item B<-cipher>
44
45 This option encrypts the private key with the supplied cipher. Any algorithm
46 name accepted by EVP_get_cipherbyname() is acceptable such as B<des3>.
47
48 =item B<-engine id>
49
50 specifying an engine (by its unique B<id> string) will cause B<genpkey>
51 to attempt to obtain a functional reference to the specified engine,
52 thus initialising it if needed. The engine will then be set as the default
53 for all available algorithms. If used this option should precede all other
54 options.
55
56 =item B<-algorithm alg>
57
58 public key algorithm to use such as RSA, DSA or DH. If used this option must
59 precede any B<-pkeyopt> options. The options B<-paramfile> and B<-algorithm>
60 are mutually exclusive.
61
62 =item B<-pkeyopt opt:value>
63
64 set the public key algorithm option B<opt> to B<value>. The precise set of
65 options supported depends on the public key algorithm used and its
66 implementation. See B<KEY GENERATION OPTIONS> below for more details.
67
68 =item B<-genparam>
69
70 generate a set of parameters instead of a private key. If used this option must
71 precede and B<-algorithm>, B<-paramfile> or B<-pkeyopt> options.
72
73 =item B<-paramfile filename>
74
75 Some public key algorithms generate a private key based on a set of parameters.
76 They can be supplied using this option. If this option is used the public key
77 algorithm used is determined by the parameters. If used this option must
78 precede and B<-pkeyopt> options. The options B<-paramfile> and B<-algorithm>
79 are mutually exclusive.
80
81 =item B<-text>
82
83 Print an (unencrypted) text representation of private and public keys and
84 parameters along with the PEM or DER structure.
85
86 =back
87
88 =head1 KEY GENERATION OPTIONS
89
90 The options supported by each algorithm and indeed each implementation of an
91 algorithm can vary. The options for the OpenSSL implementations are detailed
92 below.
93
94 =head1 RSA KEY GENERATION OPTIONS
95
96 =over 4
97
98 =item B<rsa_keygen_bits:numbits>
99
100 The number of bits in the generated key. If not specified 1024 is used.
101
102 =item B<rsa_keygen_pubexp:value>
103
104 The RSA public exponent value. This can be a large decimal or
105 hexadecimal value if preceded by B<0x>. Default value is 65537.
106
107 =back
108
109 =head1 DSA PARAMETER GENERATION OPTIONS
110
111 =over 4
112
113 =item B<dsa_paramgen_bits:numbits>
114
115 The number of bits in the generated parameters. If not specified 1024 is used.
116
117 =back
118
119 =head1 DH PARAMETER GENERATION OPTIONS
120
121 =over 4
122
123 =item B<dh_paramgen_prime_len:numbits>
124
125 The number of bits in the prime parameter B<p>.
126
127 =item B<dh_paramgen_generator:value>
128
129 The value to use for the generator B<g>.
130
131 =item B<dh_rfc5114:num>
132
133 If this option is set then the appropriate RFC5114 parameters are used
134 instead of generating new parameters. The value B<num> can take the
135 values 1, 2 or 3 corresponding to RFC5114 DH parameters consisting of
136 1024 bit group with 160 bit subgroup, 2048 bit group with 224 bit subgroup
137 and 2048 bit group with 256 bit subgroup as mentioned in RFC5114 sections
138 2.1, 2.2 and 2.3 respectively.
139
140 =back
141
142 =head1 EC PARAMETER GENERATION OPTIONS
143
144 The EC parameter generation options below can also
145 be supplied as EC key generation options. This can (for example) generate a
146 key from a named curve without the need to use an explicit parameter file.
147
148 =over 4
149
150 =item B<ec_paramgen_curve:curve>
151
152 the EC curve to use. OpenSSL supports NIST curve names such as "P-256".
153
154 =item B<ec_param_enc:encoding>
155
156 the encoding to use for parameters. The "encoding" parameter must be either
157 "named_curve" or "explicit".
158
159 =back
160
161 =head1 GOST2001 KEY GENERATION AND PARAMETER OPTIONS
162
163 Gost 2001 support is not enabled by default. To enable this algorithm,
164 one should load the ccgost engine in the OpenSSL configuration file.
165 See README.gost file in the engines/ccgost directory of the source
166 distribution for more details.
167
168 Use of a parameter file for the GOST R 34.10 algorithm is optional.
169 Parameters can be specified during key generation directly as well as
170 during generation of parameter file.
171
172 =over 4
173
174 =item B<paramset:name>
175
176 Specifies GOST R 34.10-2001 parameter set according to RFC 4357.
177 Parameter set can be specified using abbreviated name, object short name or
178 numeric OID. Following parameter sets are supported:
179
180   paramset   OID               Usage
181   A          1.2.643.2.2.35.1  Signature
182   B          1.2.643.2.2.35.2  Signature
183   C          1.2.643.2.2.35.3  Signature
184   XA         1.2.643.2.2.36.0  Key exchange
185   XB         1.2.643.2.2.36.1  Key exchange
186   test       1.2.643.2.2.35.0  Test purposes
187
188 =back
189
190
191
192 =head1 NOTES
193
194 The use of the genpkey program is encouraged over the algorithm specific
195 utilities because additional algorithm options and ENGINE provided algorithms
196 can be used.
197
198 =head1 EXAMPLES
199
200 Generate an RSA private key using default parameters:
201
202  openssl genpkey -algorithm RSA -out key.pem
203
204 Encrypt output private key using 128 bit AES and the passphrase "hello":
205
206  openssl genpkey -algorithm RSA -out key.pem -aes-128-cbc -pass pass:hello
207
208 Generate a 2048 bit RSA key using 3 as the public exponent:
209
210  openssl genpkey -algorithm RSA -out key.pem -pkeyopt rsa_keygen_bits:2048 \
211                                                 -pkeyopt rsa_keygen_pubexp:3
212
213 Generate 1024 bit DSA parameters:
214
215  openssl genpkey -genparam -algorithm DSA -out dsap.pem \
216                                                 -pkeyopt dsa_paramgen_bits:1024
217
218 Generate DSA key from parameters:
219
220  openssl genpkey -paramfile dsap.pem -out dsakey.pem
221
222 Generate 1024 bit DH parameters:
223
224  openssl genpkey -genparam -algorithm DH -out dhp.pem \
225                                         -pkeyopt dh_paramgen_prime_len:1024
226
227 Output RFC5114 2048 bit DH parameters with 224 bit subgroup:
228
229  openssl genpkey -genparam -algorithm DH -out dhp.pem -pkeyopt dh_rfc5114:2
230
231 Generate DH key from parameters:
232
233  openssl genpkey -paramfile dhp.pem -out dhkey.pem
234
235 Generate EC parameters:
236
237  openssl genpkey -genparam -algorithm EC -out ecp.pem \
238         -pkeyopt ec_paramgen_curve:secp384r1 \
239         -pkeyopt ec_param_enc:named_curve
240
241 Generate EC key from parameters:
242
243  openssl genpkey -paramfile ecp.pem -out eckey.pem
244
245 Generate EC key directly:
246
247  openssl genpkey -algorithm EC -out eckey.pem \
248         -pkeyopt ec_paramgen_curve:P-384 \
249         -pkeyopt ec_param_enc:named_curve
250
251 =head1 HISTORY
252
253 The ability to use NIST curve names, and to generate an EC key directly,
254 were added in OpenSSL 1.0.2.
255
256 =cut
257
Unnamed repository; edit this file 'description' to name the repository.