使用OpenSSL生成IIS可用的SHA-256自签名证书

最新推荐文章于 2024-02-29 10:30:00 发布
最新推荐文章于 2024-02-29 10:30:00 发布
阅读量1.6w 收藏 14
点赞数
分类专栏: web-api 文章标签: ATS TLS1-2 自签名证书 Openssl IIS7
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuwo333/article/details/53020403
版权

使用OpenSSL生成IIS可用的SHA-256自签名证书

好吧,2017年iOS就开始强制开启ATS了,那么所有的网站、API、网页、资源路径等都需要使用TLS1.2以上的标准了!
自签名证书已经不能满足需求了!所以在正式环境上申请购买了OA证书。那么总不至于花钱在测试环境上也买一个证书吧,所以在测试环境上还是可以部署自签名证书的!
本文操作主要分为以下几点:

1、开启TLS1.2
2、生成通配域名(*.abc.com)的自签名证书
3、将自签名证书添加到windows客户端(测试)的信任证书
4、将自签名证书添加到iPhone客户端(测试)的信任证书
5、自签名证书添加到Android,Android很随意,不用赘述

环境为:

1、Windows Server 2008
2、IIS7.5

声明:以下都是配置测试服务器的案例,正式服务器请购买通用认证证书,还有开启TLS1.2的时候需要谨慎重启服务器,做好注册表的备份

1、开启TLS1.2

TLS1.2应用于IIS,需要使用windows server 2008及IIS7.5以上的环境;在2008中,默认开启的是SSL3.0,
SSL3.0相对于TLS1.0,而目前已经明确SSL3.0的加密是不安全的!
本来吧开启TLS1.2是很麻烦的,需要修改注册表等,大家可以看一下:
https://www.derekseaman.com/2010/06/enable-tls-12-aes-256-and-sha-256-in.html
但是为大家找到了一个更简便的方法,下载下面的软件,修改后,重启服务器即可;修改如下图:
这里写图片描述
https://www.nartac.com/Products/IISCrypto/
具体开启方法,文章里面写的有。如果需要校验,是否开启,配置好自签名证书后,使用FireFox打开,查看证书详情即可;也可以下载TestSSLServer2.exe来测试。
如下图:
这里写图片描述

2、使用OpenSSL生成自签名证书

TLS1.2要求使用SHA-256算法来加密,而密钥的长度需要至少1024位。OpenSSL默认使用SHA-1来加密,所以在生成的时候需要注意参数的选择。
首先下载OpenSSL:
https://www.openssl.org/blog/blog/2016/10/12/f2f-rt-github/
解压后放在服务器下的任一目录下,比如D盘。
右键–使用管理员–打开openssl.exe
详细命令可参考:https://impl.gfipm.net/wiki/Generating_Certificates_with_OpenSSL

2.1 生成key和crt:
$ openssl> req -x509 -sha256 -nodes -days 365 -newkey rsa:2048 -keyout self.key -out self.crt -subj /CN=*.abc.com
如果出现Unable to load config info from /usr/local/ssl/openssl.cnf错误;
在命令后面加上 -config openssl.cnf,openssl.cnf需要在openssl.exe同目录下,如果没有网上找。
参数解释:
-sha256 :使用sha256算法
rsa:2048 :2048位密钥
-days 365:证书有效期365天
-subj /CN=*.abc.com :使用abc.com域名的通配方式作为使用者,这个功能我也是摸索了好久才实现的。一般域证书都只绑定一个域名(二级域名也算独立的一个),使用通配方式,此证书可以加密a.abc.com,b.abc.com等多个子域名
self.key:密钥文件,自己命名
self.crt:iphone、mac等使用的证书文件

生成的文件在openssl.exe同目录。

2.2 生成windows使用的证书文件pfx
$openssl>pkcs12 -export -out self.pfx -inkey self.key -in self.crt
执行后,会提示输入证书密码,自己测试用的,输入简单点就行。

2.3 部署IIS
找到IIS的“服务器证书”,点击进入,并在右侧选择“导入”
这里写图片描述

密码输入上一步中自己定义的密码,确定导入成功后,就可以配置https的安全网站了
这里写图片描述

好了试试在客户端用浏览器访问
这里写图片描述
火狐浏览器使用的自己的证书,所以不能添加信任。
IE和Chrome是共用系统的证书,可以根据下面的方法进行添加认证。

3、将自签名证书添加到windows客户端(测试)的信任证书

将pfx证书,发送给需要测试的客户端电脑。在客户端电脑选择打开证书,选择“本地计算机”,下一步,输入自己设定的密码,下一步,自己选择路径,不要默认,选择“受信任的根证书”,确定,导入完成。
这里写图片描述
这里写图片描述
这里写图片描述
使用IE和Chrome浏览器打开网址就可以看到绿色的小锁了。使用火狐,然后添加例外,查看证书信息可以看到加密信息了,是TLS1.2就对了。
这里写图片描述
这里写图片描述
这里写图片描述

4、将自签名证书添加到iPhone客户端(测试)的信任证书

使用safari访问自签名证书绑定的域名,会出现是否继续的提示,不要点,我这没试过,据说点完后就再也加入不到信任证书中了。
使用邮件将crt证书作为附件发送到iphone邮件中,使用iphone邮件打开crt,提示”是否加入到可信任证书“中,当然加入了。然后使用safari打开,直接就是加密网站了!
将app中的ATS启用,调试api网址,修改AFNetworking为https访问模式,可以正常访问了。没有修改app的任何代码。不推荐那种在app中加入证书的方式,如果使用那种方式,更换证书什么的太麻烦了,还得重新编译App。

5、自签名证书添加到Android,Android很随意,不用赘述

Android目前还没限制,好像http和https在应用中是通用的,只需要修改访问方式即可。如果要将自签名证书加为信任,在设置里面,关于手机,证书管理中添加,不同机型步骤不同,可自己摸索。

TMajier
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用openssl生成签名证书
06-13
使用openssl生成IIS可用SHA-256签名证书 超详细步骤!
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
windows2016安装证书管理器、IIS配置自签名证书、导出证书证书.pfx转化为.crt和.key
最新发布
m0_59598029的博客
02-29 1045
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
window下关于漏洞CVE-2004-2761,ssl证书制作工具
11-14
window下ssl证书制作生成工具,用于弱哈希算法签名的SSL证书升级成sha256算法签名证书,关于漏洞CVE-2004-2761
OpenSSL安装版证书生成IIS10.0配置SSL证书(小白篇)
huqingpeng321的博客
03-20 5247
一:安装IIS 1.安装步骤:控制面板--> 程序--> 启用或关闭windows功能--> 勾选internet information Services 2.测试:在浏览器地址栏中输入地址 http://localhost 回车,如果正确出现相关页面则安装成功 二:OpenSSL安装及生成证书: 1.下载
Openssl中的sha1和sha256教程
唐顺才的博客
10-10 9500
sha说明 sha1库是一种哈希算法。结果为160bit,即20个字节。 sha256结果为256bit,即32个字节。 openssl sha使用方法: /* main.cc */ #include <openssl/sha.h> #include <iostream> #include <string> using namespace std; boo...
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 3013
openssl 证书签名 私有CA
https---openssl证书的原理和生成方法
m0_37605576的博客
04-06 190
原理:最简单的一个原因就是,CA证书机构和操作系统认为是可靠的 生成证书方法: 1,模拟生成CA的证书 openssl genrsa -aes256 -out ca.key 2048 openssl rsa -in ca.key -out ca.key openssl req -new -sha256 -key ca.key -out ca.csr -subj “/C=CN/ST=dr/L=dr/O=ca/OU=ca/CN=ip地址” openssl x509 -req -days 3650 -sha256
OpenSSL生成签名sha256泛域名证书
IChen.的博客
06-07 1618
环境: CentOS 6.8 x86_64 安装 openssl openssl-devel cp /etc/pki/tls/openssl.cnf openssl.cnf 修改openssl.cnf [ req ] distinguished_name = req_distinguished_name default_md = sha256 #将sha1改为sha256 req_extensions = v3_req #取消这行注释 #确保req_distinguished_name下没有
self-signed-ssl:使用OpenSSL生成签名TLS证书
03-21
签名TLS该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。用法self-signed-tls [OPTIONS]self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit'self-...
SHA256算法C++代码openssl库实现
08-22
sha256openssl库中调用和组装生成可以执行的基于openssl库的sha256模块,可供之后的生日攻击和长度扩展攻击等使用该模块。 可以运行test.cpp对该模块的散列加密功能进行简单测试。 运行指导 将源码clone到...
openssl rsa公钥验签名
xiaoxianerqq的专栏
07-28 987
转自  : http://blog.csdn.net/dingzhaoyan/article/details/55254059 场景: 只有公钥字符串(base64编码),需验证签名。 环境: c++ + openssl step1 从内存读取公钥 [cpp] view plain copy static
在 Windows IIS 生成证书签名请求(CSR)
HONEY MOOSE
01-11 830
本操作方法将逐步指导您生成证书签名请求(CSR)。这些过程已在Windows 10的IIS 10上进行了测试,但也将在IIS 7.x和8.x中运行。
[转]Windows Server2008、IIS7启用CA认证及证书制作完整过程
weixin_33895695的博客
01-27 425
看到一片简单详细的介绍文章,记录下来作为备用:) 1添加活动目录证书服务 1.1打开服务器管理器,右键点击角色,选择“添加角色”,在“添加角色向导”窗口左侧面板选择“服务器角色”,然后勾选“Active Directory证书服务”,如下图: 1.2点击下一步,继续点击下一步,在“添加角色向导”窗口选中“证书...
如何利用openssliis生成ssl服务器证书
junjieking的专栏
03-25 9852
一、IIS服务器操作:<br />   1.在要安装SSL服务的机器上,打开iis管理。<br />  2.在要安加SSL服务的网站,右键打开网站属性Table.<br />  3.选取目录安全中的服务器证书.<br />  4.进入生成服务器证书请求的步骤中,一步步填写相应的信息。每一步相应的信息要记住,这些信息在后面要用到。<br />二、openssl操作:<br />    1.生成私钥。<br />       openssl genrsa -des3 -out cakey.pem 2048<br
linux命令之openssl详解
全栈行动派的博客
05-12 1622
OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。在OpenSSL被曝出现严重安全漏洞后,发现多数通过SSL协议加密的网站使用名为OpenSSL的开源软件包。由于这是互联网应用最广泛的安全传输方法,被网银、在线支付、电商网站、门户网站、电子邮件等重要网站广泛使用,所以该漏洞影响范围广大。
SSL证书生成秘钥到合成证书 一站式文档 (加详解)
weixin_42590736的博客
05-27 1339
生成秘钥合成证书 申请证书的基本流程 1. 申请证书前自己需要生成一个私钥(key)、一个公钥(csr);也叫 请求文件。 2. 拿着这个公钥(csr)去申请证书。 3. 证书回来之后,再用工具把私钥和证书合成一个.jks的文件。 4. 把.jks的文件名改成和生产证书一致并替换。 生成请求文件 证书请求文件(CSR,Cerificate Signing Request),CSR是公钥证书原始文件,包含了服务器信息和单位信息,需要提交给CA认证中心。在生成CSR文件时会同时生成私钥(key)文件,一定要备
使用openssl工具对txt文件进行SHA-256算法进行校验
12-16
使用openssl工具对txt文件进行SHA-256算法进行校验的步骤如下: 1. 打开终端或命令行窗口,进入txt文件所在的目录。 2. 运行以下命令,生成txt文件的SHA-256值: ```shell openssl sha256 文件名.txt ``` 其中,文件名.txt是你要校验的txt文件名。 3. 等待命令执行完毕,终端或命令行窗口会输出txt文件的SHA-256值。 例如: ```shell SHA256(文件名.txt)= 5d7c9f8d7f6a7b8c7d6a5b4c3d2e1f0a1234567890abcdef1234567890abcdef ``` 其中,5d7c9f8d7f6a7b8c7d6a5b4c3d2e1f0a1234567890abcdef1234567890abcdef就是txt文件的SHA-256值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值