openssl生成服务器客户端秘钥已经颁发证书等配置命令

最新推荐文章于 2022-04-26 17:53:58 发布
最新推荐文章于 2022-04-26 17:53:58 发布
阅读量2.3k 收藏 2
点赞数
分类专栏: openssl 文章标签: 私钥 公钥 证书 ca
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/stf1065716904/article/details/74012579
版权
转载:http://davidbj.blog.51cto.com/4159484/1613780/
1.首先要生成服务器的私钥:
openssl genrsa -des3 -out server.key 2048

{注:openssl rsa -in server.key -out server.key
执行这个命令之后,再启动nginx时,就无需输入密码}


2. 用server.key生成一个证书
openssl req -new -key server.key -out server.csr
生成的csr 文件交给CA机构签名后,形成服务器自己的证书。按照提示,提供服务器证书的相关信息。



3. 对客户端也做同样的命令生成key及csr文件
openssl genrsa -des3 -out client.key 2048


4. 用client.key 生成一个证书
openssl req -new -key client.key -out client.csr


5. 生成CSR证书文件必须有CA机构的签名才可以形成证书。这里制作自己的CA生成一个key文件CA.key和一个根证书ca.crt
openssl req -new -x509 -keyout ca.key -out ca.crt

7. 创建openssl.conf 生成的配置文件,输入一下命令

#根据openssl.cnf生成配置文件
touch /etc/pki/CA/{index.txt,serial}
 
#设置副本名称开始内容
echo 01 > /etc/pki/CA/serial
 
#设置副本证书存放目录
mkdir /etc/pki/CA/newcerts


8. 用CA的证书为刚才生成的server.csr 和 client.csr进行文件签名

a:为服务器颁发证书
openssl ca -in server.csr -out server.crt -cert ca.crt-keyfile ca.key

注:该命令执行后需要选择两次[y/n],我们输入y,即可。


b: 为客户端颁发证书
openssl ca -in client.csr -out client.crt -cert ca.crt-keyfile ca.key


9:证书格式转换

#IE浏览器需要p12证书,所以需要签发p12证书,用于IE签发:
openssl pkcs12 -export -clcerts -in client.crt -inkeyclient.key -out client.p12
 
#IOS 证书签发格式
openssl x509 -in client.crt -out client.cer
 
#Android 证书签发格式
openssl pkcs12 -export -in client.crt -inkey client.key -out  client.pfx
 
#pem格式证书
openssl pkcs12 -export -in ddmdd_a.pfx -out client.pem




10 其他:
a. 删除私钥密码:
#删除私钥密码
openssl rsa -in client.key -out client_open.key

b. 证书撤销
echo 01 >   crlnumber
openssl ca -keyfile ca.key -cert ca.crt -revoke  client.crt  #从CA中撤销证书client.crt
openssl ca -gencrl -keyfile ca.key -cert ca.crt -outclient.crl   #生成或更新撤销列表


c. 查看证书信息
openssl x509 -in client.pem -noout -text

d. 
client 浏览器需要使用的文件:ca.crt,client.crt,client.key,client.pfx
server 端使用的文件有:     ca.crt,server.crt,server.key


11. 配置Nginx SSL

server {
        listen           443ssl;
        server_name     smsapi.chunbo.com;
        root             /var/www/smsapi.david.com;
 
        ssl on;
        ssl_certificate         /etc/nginx/conf.d/server.crt;
        ssl_certificate_key     /etc/nginx/conf.d/server.key;
        ssl_client_certificate  /etc/nginx/conf.d/ca.crt;
 
        ssl_verify_client       off;
        ssl_session_timeout     5m;
        ssl_protocols   SSLv2 SSLv3TLSv1;
        ssl_ciphers     HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers   on;
 
        location / {
            indexindex.php index.html;
        }
 
        location ~ \.php$ {
            include        /etc/nginx/fastcgi_params;
            if (-f$request_filename) {
                fastcgi_pass  127.0.0.1:9000;
            }
            fastcgi_index   index.php;
            fastcgi_param   SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        }
}
 
 
#nginx 配置完成,reloadNginx服务

12. 客户端导入证书
证书安装及使用把刚才生成的证书:根证书ca.crt和客户端client.crt(client.pfx)安装到客户端,ca.crt安装到信任的机构,client.crt直接在windows安装或安装到个人证书位置。(如果是IE浏览器,需要安装client.pfx证书,在导入的时候需要输入证书签发的密码)


13. 测试

接下来就可以通过浏览器进行测试。有的时候可能会作为一个API接口提供其它程序进行调用,比如我使用pythonrequests进行调用
import requests
 
responseObj = requests.get(' cert=('/path/client.crt','/path/client.key' ) )
 
data = responseObj.text
 
或:
 
responseObj = requests.get('  verify='/path/client.pem')
data = responseObj.text

如果是JAVA程序,需要P12格式证书。根据自己的需求进行选择。
  给予Nginx+openssl 部署已经完成。

本文出自 “David”博客,请务必保留此出处http://davidbj.blog.51cto.com/4159484/1613780
易大飞
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl证书生产过程
fly2010love的专栏
06-08 2574
使用OpenSSL生成证书     下载安装openssl(把ssl目录下的openssl.cnf 拷贝到当前目录下) 1.首先要生成服务器端的私钥(key文件): [root@localhost opensslKey]# cp /usr/local/ssl/bin/openssl.cnf ./ [root@localhost opensslKey]# ls openssl.c
超详细open vn搭建之Linux亲测可用
时光之眼的博客
09-05 6606
centOS7下VPN部署过程详细教程,完美部署
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
安全通信系统--OpenSSL的安装编译、证书生成
weixin_33726313的博客
12-16 121
1.下载编译并且安装配置OpenSSLd的官网上(www.openssl.org)下载最新版本或者稳定版本的OpenSSL(本次实验的版本是openssl-1.0.1c),然后解压压缩包。加压之后,由于环境是windows平台的,打开根目录下的windows安装帮助文件(INSTALL.W32),根据文件描述编译即可。需要注意的是,编译的时候需要安装Perl编译器,同时由于本次试验使...
【certs】普通用户配置密钥k8s apiserver https访问权限
国产-达芬奇
01-15 774
普通用户配置密钥k8s apiserver https访问权限
ubuntu用openssl生成私钥证书步骤
KevinLiu's Notes
01-21 1万+
以下简介引用自百度文库: “ OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器OpenSSL创建证书) 无需再下载OpenSSL配置OpenSSL相关环境,在进行命令生成证书
OpenSSL创建生成CA证书服务器客户端证书及密钥
05-19
OpenSSL创建生成CA证书服务器客户端证书及密钥,配套。https://blog.csdn.net/qq153471503/article/details/109524764
openssl_gmssl命令生成证书.txt
01-21
包含OpenSSL和GMSSL生成证书命令,RSA证书和SM2证书生成方式
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
常用 OpenSSL命令汇总
Fred Lee的程序人生
10-25 933
怎么用openSSL生成证书私钥等.     Generate a new private key and Certificate Signing Request     openssl req -out CSR.csr -new -newkey rsa:2048 -nodes -keyout privateKey.key     Generate a self-s
openssl 证书请求和自签名命令req详解
weixin_30783629的博客
04-20 509
1、密钥、证书请求、证书概要说明 在证书申请签发过程中,客户端涉及到密钥、证书请求、证书这几个概念,初学者可能会搞不清楚三者的关系,网上有的根据后缀名来区分三者,更让人一头雾水。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤: 第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。 第二步:以客户端的密钥和客户端自身...
Openssl生成数字证书总结(适配win2000)
skjie的博客
11-10 1308
Openssl适配win2000系统总结一文中,我们已经实现了Openssl库在win2000上的适配。下面就来说一下怎么使用编译好的Openssl库来生成数字证书。 首先需要使用命令行进入Openssl生成库文件的目录out32dll,然后执行以下操作: 一、服务端 1、创建私钥,密码设置为123456 openssl genrsa -des3 -out server.key 1024 ...
使用openSSL制作SSL证书
热门推荐
u013630932的专栏
08-07 1万+
1.将openSSL的bin目录设置为环境变量 2.set OPENSSL_CONF=E:\OpenSSL-Win32\bin\openssl.cfg 3.以管理员身份运行命令窗口 4.参考文章 https://blog.csdn.net/zhanggnol/article/details/24292507 以下内容均截取于这篇文章 新建文件夹用于存放证书,如“D:\keystore...
Ubuntu使用OpenSSL生成数字证书详解
干就完了
04-20 1488
在安全通信编程中有时我们会用到数字证书进行通信加密,那么如何生成自己的数字证书进行测试呢?下面是使用OpenSSL在Ubuntu环境生成数字证书的步骤: 一、安装openssl a) 略 二、生成ca证书 a) 创建一个证书目录,mkdir /home/liuzhigong/SSL b) 将CA.sh拷贝到/home/liuzhigong/SSL目录,cp /usr/lib/ssl/misc/CA.sh /home/liuzhigong/SSL ...
nginx配置ssl单-双向验证 nginx https ssl证书配置
梦想起飞的地方.........
04-26 2109
1、安装nginx 参考《nginx安装》:http://www.ttlsa.com/nginx/nginx-install-on-linux/ 如果你想在单IP/服务器配置多个https,请看《nginx 同一个IP上配置多个HTTPS主机》 2、使用openssl实现证书中心 由于是使用openssl架设私有证书中心,因此要保证以下字段在证书中心的证书、服务端证书客户端证书中都相同 1 2 3 4 5 Country Name
【原创】nginx上配置SSL双向认证的CA证书链(工具openssl
HD243608836的博客
07-06 6197
配置SSL双向认证的CA证书链时,其中最关键的两步骤: ssl_client_certificateca.crt;#包含证书链的ca.crt ssl_verify_depth 2;# 指定双向认证客户端证书到根证书的深度,默认是1 配置如下: # HTTPS server # server { listen 443 ssl; listen 8110 ssl; server_name aaa.abc.com; ssl on; ssl_certif...
nginx ssl双向认证配置
weixin_38191691的博客
04-06 3324
#增加客户端CA证书配置 ssl_client_certificate /etc/nginx/cert/ca.crt; ssl_crl ssl_certs/demoCA/private/ca.crl; #开启客户端认知 ssl_verify_client on; #测试 curl --insecure --key client-test.key --cert client-test.crt ‘https://update-server-test.medbotsurgical.com/basic-busine
Nginx ssl_client_certificate支持多CA 证书链使用记录
jin_recruit的博客
12-17 4133
nginx ssl_client_certificate 双向验证 多CA 客户端证书校验
如何使用openssl生成服务器客户端证书私钥的pem文件
06-10
要使用openssl生成服务器客户端证书私钥的pem文件,可以按照以下步骤进行: 1. 生成服务器证书私钥 a. 生成服务器私钥的pem文件: 使用以下命令生成2048位RSA密钥并将其保存为server.key文件: ``` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值