如何用OpenSSL从https网站上导出SSL的CA证书?

置顶 已于 2024-01-16 23:08:22 修改
阅读量2w 收藏 4
点赞数 6
分类专栏: # 1.7 SSL 证书管理 文章标签: openssl ssl google
于 2014-05-16 00:17:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chancein007/article/details/25926035
版权

我们在访问https的时候,对于有的程序需要提供访问网站的CA证书,这个时候客户端才能访问系统网站,比如使用TIBCO Business Workspace 5 HTTP send request activty 去访问Google API提供的REST 服务的时候,就需要我们提供www.googleapis.com网站的CA证书。一般来说,用两种比较常用的方式,第一种方式是通过浏览器访问这个网站,然后在网站的地址栏的右边有一个锁,可以通过点击这个锁来查看和导入证书,这种方式只适合那种网站可以在浏览器里面打开的应用(比如IE);第二种方式,也就说今天会介绍的方式,直接用OpenSSL的命名。本文以访问  https://developers.google.com/google-apps/calendar/v3/reference/acl/delete为例子

步骤1. 从下面的网站下载OpenSSL工具,并解压缩,然后找bin目录,在命令行窗口打开openssl.exe、

Window下的OpenSSL工具可以从下面的地址下载
http://code.google.com/p/openssl-for-windows/downloads/detail?name=openssl-0.9.8k_X64.zip&can=2&q=

步骤2. 在这个窗口中输入   s_client -showcerts -connect www.googleapis.com:443

将会看到类似下面的窗体

步骤3。把这些cmd窗口中的所有字符拷贝到一个临时文件里面,通过单击鼠标右键,选择 “Select ALL”(全选),并单击鼠标,

这样被选中的内容会自动复制到黏贴板

步骤4. 把在上面步骤复制的内容保存到一个文件中,在当前的当前的文件窗体中,我们将看到类似于Certificate Chain或者

BEGIN CERTIFICATE的关键字

步骤5 在----Begin CERTIFICATE------ 和 ----END CERTIFICATE------ 就是其中的一个证书之一

----Begin CERTIFICATE------ 和 ----END  CERTIFICATE------ 之间的字符串拷贝并复制到一个文本文件中

并根据证书的名字命名,后缀名可以为 ".cer", 比如,当前的证书的名字,我们可以在----Begin CERTIFICATE------ 

类似 CN=*.googleapis.com, *.googleapis.com就是证书的名字。所以当前证书可以命名为googleapis.com.cer

步骤6. 类似以步骤5,可以把其他的证书也单独拷贝到一个文件里面,并改成后缀名为当前证书

的名字+.cer 的后缀名。

步骤7. 打开相应的证书,我们以googleapis.com.cer为例,我们将看到下面的证书信息。

    

大象无形,大音希声
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
使用openssl从服务器获取证书
CHCH998的博客
06-30 2863
I am trying to get the certificate of a remote server, which I can then use to add to my keystore a
centos7 使用openssl 配置证书服务器并颁发证书(史上最详细版本)
最新发布
yeyuningzi的博客
12-29 3751
本文结合实际详细介绍了如何再centos7 上通过openssl工具进行自建证书服务器的搭建以及签发可用于签名的证书
利用openssl和curl库获取https服务端证书
03-14
利用openssl和curl库获取https证书
ssl证书如何导出
Bing 的专栏
04-26 421
有时候需要将一些证书导入到本地再将证书加载到cacerts证书库,这里我们先看看如何将证书导入到本地。 1,打开浏览器->工具->选项->选择‘内容’->选择‘证书’,找到呢想要的证书,然后就可以导出了。 ...
利用OpenSSL获取网站证书信息
weixin_42603784的博客
04-12 1473
import idna import socks from OpenSSL import SSL from cryptography import x509 from cryptography.x509.oid import NameOID from socket import socket from collections import namedtuple HostInfo = namedt...
使用openssl 生成网站证书
weixin_30873847的博客
04-19 249
*.key是私钥文件 证书通常以.crt为后缀,表示证书文件 CSR(Certificate Signing Request)包含了公钥和名字信息。通常以.csr为后缀,是网站CA发起认证请求的文件,是中间文件。 openssl安装于 C:\Program Files\OpenSSL-Win64\bin 使用cmd定位到该位置,测试中发现,如果把该位置添加到环境变量然后直接...
openssl生成证书
12-27
1. 从官方网站下载OpenSSL源代码,例如openssl-1.0.1g版本。 2. 安装Perl解释器,如ActivePerl,确保其正常运行。 3. 解压缩OpenSSL源代码到指定目录。 4. 安装NASM(Netwide Assembler),并将安装路径添加到系统...
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
在网络安全日益重要的...综上所述,openssl和keytool是生成HTTPS证书的重要工具,理解并掌握它们的使用对于维护网站的安全性至关重要。在Windows环境下,配合提供的说明文档,您可以轻松地生成并配置自己的HTTPS证书
基于eBPF技术实现TLS加密的明文捕获,无需CA证书
01-06
SSL/HTTPS数据导出功能,针对HTTPS的数据包抓取,不需要导入CA证书。 bash的命令捕获,HIDS的bash命令监控解决方案。 mysql query等数据库的数据库审计解决方案。 直接运行 下载 release 的二进制包,可直接使用。 ...
openssl ssl 加密 证书
11-27
在win32平台下利用openssl编写ssl通信程序时需要进行加密证书的验证,本文档是客户端和服务端的证书文件。
openssl生成认证证书的工具
10-21
最简单的方法,直接用java里的keytool工具生成一个keystore文件,然后直接用这个文件启用https就可以了。 方法如下: 命令行执行%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA 执行过程中会询问你一些信息,比如国家代码,省市等,其中需要填写两个密码,一次在开头,一次在最后,请保持两个密码相同。比如,我将密码都设成s3cret。 如果不同,启动会报错,大概是下面这样的 java.io.IOException: Cannot recover key 执行完成后会生成一个.keystore文件,将它复制到tomcat的bin目录下(并不一定,放哪里都可以) 打开conf目录下的server.xml文件,找到以下这一段 它被注释掉了,将注释去掉,并将这一段改成以下 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 之后启动tomcat就可以了,通过https方式访问8443端口,就能看到效果。如果用http访问之前的端口,那么还是普通的未加密连接。 到这里问题来了,我的目的是启用https,但现在http还能访问,那么就可以绕开httpshttps也就起不了什么作用了。因此要强制访问https。 打开你的web应用的web.xml文件,在最后加上这样一段 Protected Context /* CONFIDENTIAL 重启tomcat,现在你放问原来的地址,假设是http://localhost:8080/mywebapp/,可以看到,连接被重定向到了https的连接 https://localhost:8443/mywebapp/。这样,我们的目的达到了。 但似乎还有点小问题,keystorePass="s3cret",这个密码直接被明码方式卸载server.xml里。总觉得有还是有点不爽。 那么还有一种稍微复杂点的方式,我们使用openssl。 首先,需要下载openssl,为了方便,可以下载一个绿色版, 加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为certreq.csr的证书请求文件。 如果你要向证书颁发机构申请正式的安全证书,那么就把这个certreq.csr文件发给他们就行了。他们会给你发来两个cer文件,一个是服务器证书,一个是根证书 如果你只是要使用https,那么证书自己签署就可以了。 在命令行下进入刚才解压的目录,找到openssl.exe所在的目录,执行以下命令 openssl x509 -req -in certreq.csr -out cert.cer -signkey server.key -days 3650 现在你将得到一个名为cert.cer的证书文件。 修改server.xml将 maxThreads="150" scheme="https" secure="true" keystoreFile="bin/.keystore" keystorePass=" s3cret" clientAuth="false" sslProtocol="TLS" /> 修改为以下内容(假设cert.cer和server.key文件都放在tomcat的conf目录下) maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/cert.cer" SSLCertificateKeyFile="conf/server.key" sslProtocol="TLS" /> PS.如果真的向证书颁发机构申请到了正式的安全证书,那么配置还有点不同,如下 maxThreads="150" scheme="https" secure="true" SSLCertificateFile="conf/server.cer" SSLCertificateKeyFile="conf/server.key" SSLCertificateChainFile="conf/intermediate.cer" sslProtocol="TLS" /> 因为证书颁发机构会给两个整数,一个是签署后的服务器证书,还有一个中级CA证书,所以要多一行配置。 可能证书颁发机构只会给你服务器证书也就是server.cer, 中级的CA证书即 intermediate.cer 需要到 证书颁发机构提供的网站中去下载,具体的操作会为证书颁发机构给发的邮箱中会有相关的提示 好了,到这里都配置完了,重启tomcat,就可以看到效果。不过,看到的通常会是一个exception,大概是说APR not available 如果遇到这个异常,说明你的tomcat没有安装apr支持 apr安装详见:http://www.blogjava.net/yongboy/archive/2009/08/31/293343.html 之后启动tomcat,问题应该解决了,看起来效果和第一种方式没什么不同。
OpenSSL 解析P12格式证书文件
04-06
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含了一系列加密算法、证书处理和其他相关工具。在IT领域,尤其是在网络安全和服务器配置中,OpenSSL扮演着至关重要的角色。本文将...
OpenSSL1.1.1g安装包及生成证书批处理
08-06
在这个场景中,我们讨论的是OpenSSL的1.1.1g版本的安装过程,以及如何在Windows环境下使用批处理脚本来生成不同类型的证书文件。 首先,`Win64OpenSSL-1_1_1g.exe` 是OpenSSL的64位Windows安装程序。安装这个软件将...
如何用第三方开源免费软件portecle从https网站导出SSLCA证书?
超越梦想,一起飞!!!
06-25 4700
在我这篇文章中,我提到了如何用OpenSSLhttps网站导出SSLCA证书? 这种方式不太直观,且需要用户自己手工拷贝,然后另存为文件,那么有没有更好更方便的工具呢? 幸运的是,有热心于开源项目的行业人士为我们提供了一个更方便简单的工具:portecle; 利用这个工具我们更能轻松的从HTTPS网站导出SSLCA证书.大家应该等待不急了吧。 OK,不和大家饶弯子了,直接进入具体操作步骤。
OpenSSLhttps网站导出SSLCA证书OpenSSLhttps网站导出SSLCA证书
yuanjian0814的博客
11-05 983
文章目录前言一、使用步骤1.安装 OpenSSL2.运行OpenSSL3.保存证书数据 前言 在访问https的时候,对于有的程序需要提供访问网站CA证书,这个时候客户端才能访问系统网站。一般来说有两种比较常用的方式,第一种方式是通过浏览器访问这个网站,然后在网站的地址栏的右边有一个锁,可以通过点击这个锁来查看和导入证书,这种方式只适合那种网站可以在浏览器里面打开的应用,第二种方式是直接用OpenSSL的方式。本文以访问 https://www.baidu.com 为例。 一、使用步骤 1.安装 Op
linux查cer证书信息,openssl 查看证书
热门推荐
weixin_28752743的博客
05-08 1万+
查看证书# 查看KEY信息> openssl rsa -noout -text -in myserver.key# 查看CSR信息> openssl req -noout -text -in myserver.csr# 查看证书信息> openssl x509 -noout -text -in ca.crt# 验证证书# 会提示self signed> openssl ve...
ssl双向认证 -- openssl生成证书
weixin_42497363的博客
10-27 1149
ssl双向认证--openssl生成证书
在PC上安装OpenSSL,生成证书
qq_30150579的博客
01-30 1774
在PC上安装OpenSSL,生成证书
linux ssl添加证书,linux上使用openssl生成ssl证书
05-24
在 Linux 上添加 SSL 证书可以使用 OpenSSL 工具来生成和管理证书。 以下是使用 OpenSSL 工具生成自签名证书的步骤: 1. 安装 OpenSSL 工具,如果已经安装可以跳过这个步骤。 在 Ubuntu 上使用以下命令安装 OpenSSL 工具: ``` sudo apt-get update sudo apt-get install openssl ``` 2. 生成私钥文件 使用以下命令生成私钥文件: ``` openssl genrsa -out key.pem 2048 ``` 这将生成一个 2048 位的 RSA 私钥文件 key.pem。 3. 生成证书签名请求 使用以下命令生成证书签名请求: ``` openssl req -new -key key.pem -out csr.pem ``` 这将生成一个证书签名请求文件 csr.pem。 4. 生成自签名证书 使用以下命令生成自签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out cert.pem ``` 这将生成一个有效期为 365 天的自签名证书文件 cert.pem。 5. 将证书文件安装到系统中 将生成的证书文件 cert.pem 安装到系统中,具体方式取决于你的系统和应用程序。 在 Nginx 中,可以使用以下命令将证书文件配置到 Nginx: ``` ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; ``` 这样,你就可以使用 OpenSSL 工具在 Linux 上生成自签名证书,并将其添加到应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值