OpenSSL创建带SAN扩展的证书并进行CA自签

最新推荐文章于 2024-08-09 17:40:30 发布
最新推荐文章于 2024-08-09 17:40:30 发布
阅读量1.3w 收藏 17
点赞数 2
分类专栏: java SE java EE 文章标签: ssl openssl ca netty4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dotalee/article/details/78041691
版权
本文介绍了如何使用OpenSSL创建带有Subject Alternative Name (SAN)扩展的SSL证书,并进行CA自签署。SAN允许一个证书支持多个不同的域名,简化了证书管理。遵循步骤,包括生成CA密钥、服务器密钥和证书请求文件,然后使用CA签署服务器证书。注意,哈希算法应使用sha256而非sha1,以避免浏览器提示不安全。此外,对于在netty中使用SSL协议的情况,需要将私钥转换为PKCS8格式。
摘要由CSDN通过智能技术生成

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书

image.png
发现的确是用的前面的百度证书

image.png
所以SAN带来的好处就可以看出来了,一个证书可以用在各种不同的域名下,不需要一个域名买一个证书了。

利用OpenSSL创建证书

因为是本地环境,直接用OpenSSL给自己颁发一个CA根证书用于后面给服务器做CA签署。
1. 生成CA密钥

openssl genrsa -des3 -out ca.key 2048
  1. 生成CA根证书
openssl req -sha256 -new -x509 -days 365 -key ca.key -out ca.crt \
    -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=study/CN=testRoot"
  1. 生成服务器密钥
最低0.47元/天 解锁文章
liwei2633
关注
专栏目录
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9105
为什么80%的码农都做不了架构师?>>> ...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
OpenSSL自签发配置有多域名或ip地址的证书
热门推荐
山鬼谣的专栏
12-12 3万+
环境翻译加实践概述HTTPS服务是工作在SSL/TLS上的HTTP。 首先简单区分一下HTTPS,SSL ,TLS ,OpenSSL这四者的关系: SSL:(Secure Socket Layer,安全套接字层)是在客户端和服务器之间建立一条SSL安全通道的安全协议; TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性; TLS
CA证书openssl介绍
最新发布
xiaogengtongxu的博客
08-09 1075
SSL (Secure Sockets Layer) 和 TLS (Transport Layer Security) 是两种用于在网络通信中提供安全性和隐私的加密协议。它们的主要目的是确保数据在互联网上传输时的保密性、完整性和身份验证。历史:SSL 由 Netscape 在 1990 年代初期开发。版本:SSL 有 1.0、2.0 和 3.0 三个版本。现状:所有 SSL 版本现在都被认为是不安全的,已被废弃。
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1449
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
openss CA签署扩展字段的证书
kunyus的博客
02-21 1103
生成签署请求 openssl req -new -key ../ca.key -out metrics-server.csr -reqexts SAN -extensions SAN -subj "/C=CN/ST=Guang'dong/L=Sheng'zhen/O=Kubernetes/OU=dev/CN=metrics-server.k8s.com" -config <(cat /etc...
使用openssl生成SAN证书
Arvin
08-12 2596
使用openssl生成SAN证书
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 4683
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本扩展属性的证书 req_extensions = ...
Linux中Nginx添加自签证书TLS的方法
09-15
7. `<(cat ...)`:用管道创建临时的openssl配置,添加SAN扩展,包含DNS:test.com,表示证书适用于test.com域名。 8. `-sha256`:使用SHA256散列算法。 9. `-days 3650`:证书的有效期为3650天。 创建完成后,你可以...
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 880
使用openssl为harbor制作证书
使用OpenSSL生成多域名自签证书
fansys的博客
04-12 2391
使用OpenSSL生成多域名自签证书 证书生成过程介绍 证书的目的是建立特定密钥对与特定实体之间的联系。 自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书证书的申请人和签发人都是同一个。 需要一对密钥对; 常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不能用DSA,只能用RSA,因为DSA不能加解密也不能做密钥交换,只能做签名;ECDSA还没有被大部分的CA支持; 证书认证请求文件(csr文件) 这是按照一定格式生成的文件,里面包含实体信息 将
OpenSSL使用示例创建自签证书Linux
玖拾说架构
03-31 765
在本文中,我将与openssl分享在Linux中创建自签证书的步骤。 在Linux中创建自签证书所需的步骤 生成自签证书的步骤包括: 生成私钥 server.key 创建证书签名请求(CSR)server.csr 签署证书签名请求并生成自签证书server.crt 安装openssl 在RHEL / CentOS 7/8上,您可以分别使用yum / dnf,而在Ubuntu上,则可以apt-get用于安装openssl rpm [root @ centos8-1〜]#yum -y install
OpenSSL生成自签证书
weixin_35753964的博客
12-20 436
这里介绍两种方法生成自签证书 第一种方式 通过openssl生成私钥 openssl genrsa -out server.key 1024 使用私钥生成自签名的cert证书文件,以下是通过参数只定证书需要的信息 openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"
SAN的自建HTTPS
weixin_43426254的博客
12-14 420
本文应用场景:使用OPENSSL自建HTTPS,并配置Apache2(信息安全实践课) 在高版本的浏览器中,使用HTTPS,浏览器需要检查SAN(Subject Alternative Name) ,配置时如果只有CN(CommonName)是不够的,会有如下警告,打开浏览器的控制面板中的Security,会发现提示去缺少SAN,解决方法就是按照如下的方式配置,其他博客步骤中做一点点小小的改动即可。
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 670
使用openssl生成SAN证书 多个注意点
【HTTPS】使用OpenSSL生成有SubjectAltName的自签证书
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
openssl 生成签名和增加多DNS支持
ssj901217的博客
04-20 3069
1. 做为CA机构生成自签名 1.1. 生成RSA私钥      openssl genrsa -out ca_rsa_private.key 2048   1.2 生成自签证书 openssl req -new -x509 -days 365 -key ca_rsa_private.key -out ca_cert.crt   1.3 把自签名给客户端做为根证书   ...
centos的openssl 配置SAN 证书
07-14
在CentOS上使用OpenSSL生成SAN证书,您可以按照以下步骤进行操作: 1. 确保您的系统已经安装了OpenSSL。如果没有安装,请使用以下命令安装: ``` sudo yum install openssl ``` 2. 创建一个名为`openssl.cnf`的配置文件。可以使用以下命令创建并编辑该文件: ``` sudo vi openssl.cnf ``` 3. 在`openssl.cnf`文件中添加以下内容来定义SAN扩展: ``` [req] req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com ``` 将`example.com`和`www.example.com`替换为您要在证书中包含的实际域名。 4. 生成证书的私钥和证书签发请求(CSR)。执行以下命令,并将`example.key`和`example.csr`替换为您想要的文件名: ``` openssl req -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config openssl.cnf ``` 在生成CSR时,根据提示填写相应的信息,如国家、组织、通用名称等。 5. 使用CSR向证书颁发机构(CA)申请证书签名,或者如果您是自签证书,则可以使用以下命令生成自签证书: ``` openssl x509 -req -in example.csr -signkey example.key -out example.crt -extensions v3_req -extfile openssl.cnf ``` 这将使用CSR和私钥生成SAN证书`example.crt`。 现在,您已经成功生成了SAN证书。请注意,在实际部署中,请使用受信任的证书颁发机构(CA)颁发的证书以获得最佳的安全性和信任度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值