通过Easyrsa和Openssl制作自签名证书

最新推荐文章于 2023-02-09 13:24:31 发布
最新推荐文章于 2023-02-09 13:24:31 发布
阅读量3.2w 收藏 4
点赞数
分类专栏: 安全 文章标签: openssl ca https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010278923/article/details/69681081
版权

当前https被广泛运用于互联网环境,就连百度都改成https的请求了。在https中很重要的一个步骤就是证书验证,证书验证报错单项验证和双向验证,其实说白了就是服务端和客户端相互验证自己的身份,确定对方的合法性,但是双方无论怎样验证都无法避免证书被截获修改的风险,所以还需要一个第三方机构-CA证书机构,譬如最近和google撕逼的塞门铁托,就是著名的CA机构,当然企业为了省钱,完成可以自己给自己的证书签名。下面我就列举两种常用的自签名证书制作过:

Easyrsa

下载,解压,初始化Easyrsa3的补丁版本。

curl -L -O https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz 
tar xzf easy-rsa.tar.gz 
cd easy-rsa-master/easyrsa3 
./easyrsa init-pki

产生一个CA. (–batch设置自动模式。–req-cn使用默认CN。)

./easyrsa --batch "--req-cn=${MASTER_IP}@date +%s" build-ca nopass

产生服务器证书和秘钥。(build-server-full [文件名]:给客户端和服务器生成一个本地的秘钥对和信号)

./easyrsa --subject-alt-name="IP:${MASTER_IP}" build-server-full kubernetes-master nopass

Openssl

也可以用来给你的集群手动生成证书。
使用2048bit生成ca.key:

openssl genrsa -out ca.key 2048

根据ca.key生成ca.crt。(-days设置证书的有效时间)。

openssl req -x509 -new -nodes -key ca.key -subj "/CN=${MASTER_IP}" -days 10000 -out ca.crt

使用2048bit生成server.key:openssl genrsa -out server.key 2048
根据server.key生成server.csr。

openssl req -new -key server.key -subj "/CN=${MASTER_IP}" -out server.csr

根据ca.key,ca.crt和server.csr生成server.crt。

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 10000

完整流程

上面的例子是我自己搭建一个内部的https的集群所使用的命令,下面我列了一个通用的命令:

openssl genrsa -out ca.key 2048
openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj \
"/C=国家/ST=州省/L=市/O=公司名称/OU=域名"
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr -subj \
"/C=国家/ST=州省/L=市/O=公司名称/OU=域名/CN=域名"
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

需要注意的是:
1./O字段内容必须与刚才的CA根证书相同;
2./CN字段为公用名称(Common Name),必须为网站的域名(不带www);
3./OU字段最好也与为网站域名,当然选择其他名字也没关系。
4.在执行上述命令之前确认你的pki(centos7 默认是/etc/pki/)目录下面有这些文件,如果没有,按照下面的步骤做些准备工作:
mkdir CA
cd demoCA
mkdir newcerts
touch index.txt
echo '01' > serial

柳清风09
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书的命令和基本验证命令。
easy-rsa 证书详解
最新发布
YFHCSDN的博客
10-08 1009
rsa证书 个人总结
self-signed-ssl:使用OpenSSL生成自签名TLS证书
03-21
签名TLS 该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。 用法 self-signed-tls [OPTIONS] self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit' self-signed-tls --ca-key=/path/to/CA.key --ca-cert=/path/to/CA.pem --ca-only 选项 一般的 选项 描述 -h --help 显示帮助并退出 -p VALUE --path=VALUE 输出生成键的路径 -d VALUE --duration=VALUE 证书有效的天数(默认为365 ) -b VALUE --bits=VALUE 密钥大小(以位为单位)(默认为2048 ) --n
openssl命令制作生成证书和自签名
10-12
openssl命令制作生成证书和自签名
Nginx配置SSL自签名证书的方法
09-30
主要介绍了Nginx配置SSL自签名证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
OpenSSL做自签名证书(by quqi99)
技术并艺术着
08-19 2720
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
Kubernetes 证书生成方法easyrsa openssl cfssl
不忘初心,方得始终
05-19 545
转载官网地址:https://kubernetes.io/zh/docs/concepts/cluster-administration/certificates/ 当使用客户端证书进行认证时,用户可以使用现有部署脚本,或者通过 easyrsaopenssl 或 cfssl 手动生成证书。 分发自签名 CA 证书证书 API 使用 easyrsa 能够手动地为集群生成证书。 下载、解压并初始化 ...
使用easy rsa对ip颁发自签名https证书的注意事项
YichengWang的专栏
02-09 315
使用easy rsa,针对ip地址颁发https证书的方法
关于easyrsa命令中的nopass
三角室专栏
11-06 1893
https://hub.fastgit.org/OpenVPN/easy-rsa/releases Windows 下运行 EasyRSA-Start.bat 打开一个 shell 环境 create a new PKI and CA ./easyrsa init-pki ./easyrsa build-ca 默认 ca.key 会加密,要求输入两次密码。 避免交互输入可使用以下命令。 echo -e “pass\npass” | ./easyrsa --batch build-ca http://tool
Linux easy-rsa制作证书
热门推荐
风色幻想的博客
03-24 5万+
下载配置 下载:yum install easy-rsa -y 将easy-eas拷贝到工作目录:cp -r /usr/share/easy-rsa/3.0.3/* /etc/openvpn/easy-rsa/ 拷贝vars文件(easy-esa 3.*后的版本没有默认vars文件,好像改成了vars.example):cp -p /usr/share/doc/easy-rsa-3.0.3/va...
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
ubuntu 14.04使用easy-rsa创建CA并签发证书
雜貨鋪
12-13 5104
ubuntu 14.04 sudo apt-get update sudo apt-get install easy-rsa
2、CentOS6.5 安装Open×××使用easy-rsa3.0.3
weixin_34259559的博客
09-05 645
1、安装eple源yum install -y epel-releasesed -i 's/mirrorlist=https/mirrorlist=http/g' /etc/yum.repos.d/epel.repo** 2、安装openssl和lzoyum install -y openssl openssl-devel lzo lzo-devel pam pam-devel automake ...
Open***与easy-rsa的安装与配置
weixin_34015860的博客
01-12 2217
Yum源wget -O /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo安装基础包yum -y install openssl openssl-develyum -y install lzoyum -y install open*** easy-rsa修改vars文件cd /usr/share/easy-rs...
kubernetes 证书制作工具
纵横四海的博客
04-21 989
Creating Certificates 本文介绍三种制作证书的工具,分别是easyrsa, openssl or cfssl easyrsa 下载并解压easyrsa curl -LO https://storage.googleapis.com/kubernetes-release/easy-rsa/easy-rsa.tar.gz tar xzf easy-rsa.tar.gz ...
OpenSSL 的使用详解
weixin_34102807的博客
09-23 7413
OpenSSL 是一个开源项目,其组成主要包括一下三个组件:openssl:多用途的命令行工具libcrypto:加密算法库libssl:加密模块应用库,实现了ssl及tlsopenssl可以实现:秘钥证书管理、对称加密和非对称加密。1、对称加密对称加密需要使用的标准命令为 enc ,用法如下:opensslenc-ciphername[-in...
Linux版Open***安装配置教程
weixin_33912445的博客
12-14 647
本文将以目前最新的open***-2.3.11.tar.gz为例来介绍如何在Linux系统中安装、配置及使用Open×××安装Open×××的实验环境及网络拓扑我这里选用了一台Redhat6.5 64位系统的计算机作为Open×××服务器,其配置了两块网卡,eth1网卡是NAT模式的,eth2网卡是桥接模式的,一台windows xp 32位系统的计算机作为Open×××客户...
open***2.3.12安装与easy-rsa3的使用
weixin_34245169的博客
10-31 456
 最近公司要求在内网部署一套open***使用,上网查了一下才发现open***版本已经升级到2.3.12了,其中最主要的改动是源码包里不再包含easy-rsa,如今部署open***要去github上面下载easy-rsa程序,并且easy-rsa也已经升级到了第三个版本(以往easy-rsa2居多),所以决定重新整理一下新版本的open***部署,以及easy-rsa3的使用。部署open**...
使用easyrsa制作证书
weixin_34405354的博客
05-23 2680
一、基于easy_rsa 2.x制作证书:链接:https://blog.51cto.com/wzlinux/1736459 最后附录部分。下载密钥制作工具easy_rsa 2:wget https://github.com/Open×××/easy-rsa/archive/release/2.x.zip解压easy_rsa并拷贝到/etc/ope...
openssl创建自签名证书
04-22
好的,我了解,您的问题是如何使用openssl创建自签名证书。您可以按照以下步骤操作: 1. 生成私钥:运行以下命令生成一个私钥文件: openssl genrsa -out private_key.pem 4096 这将生成一个4096位的RSA私钥文件private_key.pem。 2. 生成证书请求:使用上一步生成的私钥文件生成证书请求文件: openssl req -new -key private_key.pem -out cert_request.csr 该命令会生成一个证书请求文件cert_request.csr,您需要填写一些关于您的组织和服务器的信息。 3. 生成自签名证书:运行以下命令生成自签名证书openssl x509 -req -days 365 -in cert_request.csr -signkey private_key.pem -out my_cert.pem 该命令将使用私钥文件和证书请求文件生成一个有效期为365天的自签名证书my_cert.pem。 以上就是使用openssl创建自签名证书的简要步骤,希望能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

柳清风09

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值