linux下使用openssl生成自签名,配置单向认证,实现https加密请求的方法

最新推荐文章于 2024-09-06 17:01:52 发布
最新推荐文章于 2024-09-06 17:01:52 发布
阅读量8.4k 收藏 8
点赞数 1
分类专栏: Https 文章标签: openssl https CA 证书 key
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongdong9223/article/details/80830959
版权

转载请注明出处:http://blog.csdn.net/dongdong9223/article/details/80830959
本文出自【我是干勾鱼的博客

我们都知道http请求是明文传输,也就意味着数据交互传输是不安全的,极有可能被截获,也有可能被篡改,使用https请求已经是一个大趋势了。今天就来讲讲通过自签名自己实现https请求的实现方法。

Ingredient:

这里为什么还要使用jdk呢?是因为服务器端经过ca认证的证书,即“crt”类型的文件,生成出来之后,还要在使用openssl命令对其生成一个p12文件,然后就是要使用jdk的“keytool”命令针对这个“p12”类型的文件生成一个keystore类型的文件,此文件是服务器端存放证书的容器。在tomcat的:

{tomcat}/conf/server.xml

文件中,要配置好这个keystore类型文件的位置,因为tomcat在启动时会引用这个文件。

1 制作CA证书(根证书)

创建生成证书的文件夹并进入:

mkdir -p /opt/keys/test
cd /opt/keys/test/

1.1 生成根证书私钥ca.key

openssl genrsa -des3 -out ca.key 2048

输入相应的密码设定,如图所示:

这里写图片描述

1.2 生成根证书公钥ca.crt

openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

这里写图片描述

2 制作服务器端证书

2.1 生成服务器端证书私钥www.test.com.pem

openssl genrsa -des3 -out www.test.com.pem 1024

如图所示:

这里写图片描述

2.2 生成服务器证书的认证请求文件

openssl req -new -key www.test.com.pem -out www.test.com.csr

在common name中填入服务器的域名,如www.test.com即可生成改站点的证书,当然也可以使用泛域名如*.test.com来生成所有二级域名可用的网站证书。如图所示:

这里写图片描述

2.3 使用CA根证书对服务器证书进行签名

openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in www.test.com.csr -out www.test.com.crt

这里“-days 1460”表示生成证书为期1460天(4年)。

执行这里的时候会出现如下错误:

Using configuration from /usr/lib/ssl/openssl.cnf
Enter pass phrase for ca.key:
ca: ./demoCA/newcerts is not a directory
./demoCA/newcerts: No such file or directory

如图所示:

这里写图片描述

网上也有相关文章提到了解决办法,要创建一些文件夹和文件,并在其中输入“01”,代码如下:

mkdir -p ./demoCA/newcerts          //当前路径下创建这两个文件夹
touch ./demoCA/index.txt            //创建index.txt文件
touch ./demoCA/serial               //创建serial文件
echo '01' > ./demoCA/serial         //在serial文件中写入“01”

如图所示:

这里写图片描述

然后在执行创建crt签名文件的命令,就会进入授权签名的命令行,如下图所示:

这里写图片描述

注意两个地方都输入同意:y,然后crt文件就生成了。

2.4 导出.p12文件 server.p12

openssl pkcs12 -export -in ./www.test.com.crt -inkey ./www.test.com.pem -out ./www.test.com.p12 -name "server"

2.5 生成keystore类型文件,并将.p12文件导入

生成一个keystore类型的文件“www.test.com.keystore”,并将.p12类型的文件导入到里面

keytool -importkeystore -v -srckeystore www.test.com.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore www.test.com.keystore -deststoretype jks -deststorepass 123456

这里:

  • srcstorepass后面的123456www.test.com.p12的密码
  • deststorepass后面的123456www.test.com.keyStore的密码

3 配置tomcat的单向认证

对于服务器端(这里就是tomcat了)的单向认证,需要这两个文件:

  • ca.crt:客户端使用的CA根证书
  • www.test.com.keystore:服务端证书存放的容器

3.1 将keystore文件放在合适的位置

首先将:

www.test.com.keystore

放置在服务器的一个合适的位置,这里仍将它放在:

/opt/keys/test/

目录下。

3.2 配置tomcat的server.xml文件

这里需要配置tomcat的server.xml文件,打开tomcat的:

{tomcat}/conf/server.xml

文件,将原有的改为:

<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="/opt/keys/test/www.test.com.keystore"
               keystorePass="123456"
               clientAuth="false" sslEnabledProtocols="TLSv1.2"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
                               TLS_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,
                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

3.3 启动tomcat

将tomcat服务器启动。

3.4 用https访问网站

可以直接访问域名:

https://www.test.com:8443/

或者配置了hosts文件:

192.168.12.3 www.test.com

之后在访问这个域名。

也可以直接访问ip:

https://192.168.12.3:8443/

注意这里浏览器会自动到服务器下载这个经过CA签名的证书,但是因为不是正式的CA机构颁发的,所以浏览器会任务这个证书是不安全的,如图所示:

这里写图片描述

如果使用正式CA机构认证的证书,这里就会是安全的提示了。

不过虽然标注为“不安全”,但是数据传输也都是经过了加密处理的,直接抓包是看不到明文信息的,也就达到了https请求的目的了。

4 参考

为nginx配置https并自签名证书

linux下Tomcat+OpenSSL配置单向&双向认证(自制证书)

OpenSSL生成证书对

我是干勾鱼
关注
专栏目录
OpenSSL单向与双向认证通信
go_home_look的博客
07-10 2858
C/S中单向认证大致流程 C/S中双向认证大致流程 使用命令生成各自的私钥和证书 客户端: openssl req -newkey rsa:512 -nodes -keyout client.key -x509 -days 5 -out client.crt 服务器端: openssl req -newkey rsa:512 -nodes -keyout server.key -x509 -days 5 -out server.crt 测试一下: google@ubuntu1404:~/work
apache+openssl设置https单向认证和双向认证以及反向代理
朝阳似火的博客
12-09 5212
闲话少说,下面介绍企业在项目开发过程中需要使用自己申请的域名通过https单向或双向认证)访问应用服务器的实现方式。 1、域名申请,这个应该it人都知道。自己上网申请免费的,或者付费的域名。申请域名过程中,绑定自己企业的对外ip地址。 2、部署apache和openssl前置linux服务器。稍后详细说明 3、配置https单向和双向认证服务 4、配置反向代理服务 下面是对部署
liunx系统使用openssl工具生成签名ssl证书
运维_攻城狮的博客
08-16 235
第2步:生成CSR(证书签名请求)第3步:删除私钥中的密码。第4步:生成签名证书。第5步:证书后缀名转换。
Linux系统中,使用OpenSSL生成私有证书文件,并提取私钥的步骤如下:
qq_43559669的博客
05-29 396
上述命令中,我们首先生成了一个2048位的私钥存储在private.pem文件中。然后,我们创建了一个自签名证书签名请求(CSR),并用该私钥生成了自签名证书(CRT)。最后,我们使用openssl rsa命令将私钥从private.pem格式中提取出来,并以PEM格式输出到private.key文件中。
Linux 基于opensslhttps服务配置
weixin_34029680的博客
12-16 707
众所周知http协议是明文传输的,所以当我们再互联网上发送一些敏感数据,特别是账号密码之类的数据时,就显得不那么安全,而http又是应用层协议中用的非常广泛的一种协议,所以此时想要使之更安全,可以借助于ssl来使用https协议。但ssl仅能支持基于IP的主机,所以想使用https,要么是使用中心主机,要么是使用多个基于主机名的虚拟主机中的一个。环境准备:ht...
C语言实现Openssl+CURL+nginx 单向认证
wang6562009的专栏
10-31 1520
C语言实现Openssl+CURL+nginx 单向认证
linux 自签证书 https (chrome 58版本以上的认证体系方法
weixin_34362790的博客
11-23 299
mkdir /opt/ssl_san && cd /opt/ssl_sanmkdir ca cert && cd caopenssl genrsa -out ca.key 2048openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt --3650=10年cd ../cert/openssl g...
linux-openssl
11-02
Linux下的OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现工具包,它提供了各种加密算法、数字证书管理功能以及用于安全通信的编程接口。标题"linux-openssl"指的是在Linux操作系统中使用OpenSSL...
Linux 加密解密技术基础及OpenSSL介绍
weixin_44983653的博客
07-20 482
Linux 加密解密技术基础基础概念信息安全防护的目标安全防护环节安全攻击类型(STRIDE)安全设计的基本原则常用的安全技术安全的解决方案1.加密和解密2.服务3.密钥算法和协议密钥算法和协议介绍1.对称加密算法2.公钥加密(非对称加密)算法3.单向加密 基础概念 信息安全防护的目标 保密性 # Confidentiality 完整性 # Integrity 可用性 # Usability 可控...
Apache+openssl实现https
艾泽拉斯队友克星
10-17 807
Apache+openssl实现https 前言 本试验由于原理部分较长,单独整理一篇文档以作记录,如有偏差处,欢迎大家指正批评。 基本理论说明 HTTP HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80 HTTPS Hyper Text Transfer Protocol over Secure Sock
openssl tcp单向和双向加密源码
12-06
https://blog.csdn.net/u014220105/article/details/84851031 先查看大致的思路确定是非有需要,部分代码源于其它地方,这里为测试代码 均已编译调试成功,欢迎指点,不喜勿喷
CAS单点登录【1】-理论(cas架构、https、SSL、TLS、非对称加密证书CA、握手)、OpenSSLcas(认证、指定加密策略)
LawssssCat的博客
03-12 1540
sso(Single Sign On) 单点登录 cas(Central Authentication Service) 中央认证服务 cas 默认在 httpsHTTPS:HTTP + SSL HTTP (HyperText Transfer Protocol) 超文本传输协议 SSL(Secure Sockets Layer) 安全接口层 ...
win10系统下openssl证书生成单向认证
最新发布
韩若熙的博客
09-06 1080
最近工作中要完成ssl加密啊通信,使用到了openssl,本文主要介绍win10系统下其安装和配置及对应的密钥和证书生成步骤.
基于openssl单向和双向认证
weixin_34318272的博客
11-30 384
2019独角兽企业重金招聘Python工程师标准>>> ...
linux生成https证书
ThinPikachu的博客
07-25 4243
linux生成https证书
使用Linuxopenssl生成https的ssl密钥,然后自己签名
liangwenrong的博客
07-03 383
证书key和cert配置到nginx的443端口的ssl(nginx的https必须配置ssl_certificate)生成一个密钥,长度自定,比如2048(防止有些应用要求密钥长度不能太短)使用私钥来生成证书请求(csr证书请求是用来 发给签证公司 生成证书的)注意:国家可以填CN,其他都不要填,密码不要填,回车跳到底完成。使用csr证书请求签名(自己签,不用发证书公司,签30年)然后会让你输入签名信息,
Linux—— HTTPS证书
Xinan_____的博客
04-29 2005
HTTPS的工作原理HTTPS)是一种用于安全传输超文本的通信协议。它是HTT协议的安全版本,通过在HTTP和TCP之间添加SSL/TLS加密层,确保传输过程中的数据安全性和完整性。HTTPS的工作原理1.建立安全连接:客户端(通常是浏览器)向服务器发起HTTPS请求时,服务器会返回自己的数字证书,证明自己的身份。客户端会验证证书的合法性,如果证书有效且可信,则客户端生成一个随机数作为会话密钥,并使用服务器的公钥加密该密钥,然后将加密后的密钥发送给服务器。2.
linux 生成自签证书 并在 nginx中使用
zengliguang的专栏
08-06 315
请注意,使用自签证书可能会导致浏览器提示证书不受信任的警告,因为自签证书不是由权威的证书颁发机构颁发的。如果是用于正式的生产环境,建议购买由受信任的证书颁发机构颁发的证书。在生成过程中,您需要填写一些信息,如国家、地区、组织名称等。(证书)文件复制到 Nginx 配置文件所在的目录(通常为。编辑 Nginx 配置文件(例如。
windows下使用openssl生成签名ssl证书
05-26
以下是在Windows上使用OpenSSL生成签名SSL证书的步骤: 1. 下载和安装OpenSSL。你可以从官方网站 https://www.openssl.org/source/ 或者一些其他的源获取OpenSSL。 2. 打开命令提示符并浏览到OpenSSL安装目录下的bin文件夹。默认情况下,它应该在C:\Program Files\OpenSSL\bin。 3. 输入以下命令生成私钥: ``` openssl genrsa -out server.key 2048 ``` 这将生成一个2048位的RSA私钥,保存为server.key文件。 4. 输入以下命令生成证书签名请求: ``` openssl req -new -key server.key -out server.csr ``` 这将生成一个证书签名请求,保存为server.csr文件。在此过程中,你需要填写一些信息,例如组织名称、常用名称等。 5. 输入以下命令生成签名证书: ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将生成一个有效期为365天的自签名证书,保存为server.crt文件。 现在你已经成功生成了自签名SSL证书。你可以将server.crt证书文件用于你的Web服务器或其他应用程序,以启用HTTPS连接。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值