自签名根证书、中间证书、服务器证书生成流程详解

最新推荐文章于 2024-04-18 16:30:18 发布
最新推荐文章于 2024-04-18 16:30:18 发布
阅读量2.4k 收藏 24
点赞数 28
分类专栏: # openssl命令 文章标签: 服务器 https ssl 安全 网络协议 证书 CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ARV000/article/details/134694724
版权

文章目录

一、生成根证书

生成自签名的根证书(Root Certificate)的过程包括生成私钥、生成自签名的根证书。以下是基于 OpenSSL 的步骤:

1. 生成根私钥

openssl genpkey -algorithm RSA -out root_key.pem

上述命令会生成一个 RSA 算法的私钥文件 root_key.pem

2. 生成自签名的根证书请求

openssl req -new -key root_key.pem -out root_csr.pem

在这一步中,你需要提供一些信息,如组织名、组织单位、国家等。最终,它会生成一个自签名的根证书请求文件 root_csr.pem

下表列出了执行 openssl req -new -key root_key.pem -out root_csr.pem 时需要填写的一些常见信息及其作用:

FieldDescription
Country Name (2 letter code)两字母的国家代码,例如 “US”。
State or Province Name州或省的全名。
Locality Name (e.g., city)城市或地区的全名。
Organization Name (e.g., company)公司或组织的全名。
Organizational Unit Name (e.g., section)部门或单位的全名。
Common Name (e.g., your name or your server’s hostname)通常是你的服务器的主机名。
Email Address电子邮件地址,用于证书联系。
Challenge Password挑战密码(可选)。
Optional Company Name可选的公司名称。

这些信息将用于填写证书请求文件。在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。通常,“Common Name” 是最重要的字段,应该设置为与你的服务器域名或主机名相匹配的值。其他字段的值可以根据实际情况填写。

3. 使用私钥签署自签名的根证书

openssl x509 -req -in root_csr.pem -signkey root_key.pem -out root_cert.pem

这一步将使用之前生成的私钥 root_key.pem 对自签名的证书请求 root_csr.pem 进行签名,生成最终的根证书 root_cert.pem

至此,你已经生成了一个自签名的根证书。请确保妥善保管生成的私钥文件 root_key.pem,因为它是证书签名的关键。

注意:上述步骤是生成自签名根证书的基本步骤。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。

二、中间证书生成

生成中间证书需要遵循一些类似于生成根证书的步骤。中间证书一般是由根证书签署的。以下是生成中间证书的基本步骤:

1. 生成中间私钥

openssl genpkey -algorithm RSA -out intermediate_key.pem

上述命令会生成一个 RSA 算法的私钥文件 intermediate_key.pem

2. 生成中间证书请求

openssl req -new -key intermediate_key.pem -out intermediate_csr.pem

在这一步中,你需要提供一些信息,如组织名、组织单位、国家等。最终,它会生成一个中间证书请求文件 intermediate_csr.pem

3. 使用根证书私钥签署中间证书请求

openssl x509 -req -in intermediate_csr.pem -CA root_cert.pem -CAkey root_key.pem -CAcreateserial -out intermediate_cert.pem

这一步将使用根证书 root_cert.pem 和根私钥 root_key.pem 对中间证书请求 intermediate_csr.pem 进行签名,生成中间证书 intermediate_cert.pem

4. 验证中间证书

openssl verify -CAfile root_cert.pem intermediate_cert.pem

上述命令用于验证中间证书是否有效,确保它是由根证书签署的。

至此,你已经生成了一个由根证书签署的中间证书。中间证书通常用于构建证书链,形成一个完整的信任链。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。

三、服务器证书生成

生成服务器证书的步骤与生成中间证书和根证书类似。服务器证书是由中间证书签署的。以下是生成服务器证书的基本步骤:

1. 生成服务器私钥

openssl genpkey -algorithm RSA -out server_key.pem

上述命令会生成一个 RSA 算法的私钥文件 server_key.pem

2. 生成服务器证书请求

openssl req -new -key server_key.pem -out server_csr.pem

在这一步中,你需要提供一些信息,如组织名、组织单位、国家等。最终,它会生成一个服务器证书请求文件 server_csr.pem

3. 使用中间证书私钥签署服务器证书请求

openssl x509 -req -in server_csr.pem -CA intermediate_cert.pem -CAkey intermediate_key.pem -CAcreateserial -out server_cert.pem

这一步将使用中间证书 intermediate_cert.pem 和中间私钥 intermediate_key.pem 对服务器证书请求 server_csr.pem 进行签名,生成服务器证书 server_cert.pem

4. 验证服务器证书

openssl verify -CAfile intermediate_cert.pem server_cert.pem

上述命令用于验证服务器证书是否有效,确保它是由中间证书签署的。

至此,你已经生成了一个由中间证书签署的服务器证书。这个服务器证书可以用于配置 Web 服务器、TLS/SSL 终端等。在实际环境中,你可能还需要考虑服务器证书的有效期、使用配置文件来指定证书信息等。

DNSNameMatches

N阶二进制
关注
  • 28
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
阿里云部署SSL证书详解
01-10
查找中间证书 为了确保兼容到所有浏览器,我们必须在阿里云上部署中间证书,如果不部署证书,虽然安装过程可以完全也不会报错,但可能导致Android系统,Chrome 和 Firefox等浏览器无法识别。请到 中间证书下载工具,输入您的Server.cer,然后下载中间证书,请将中间证书保存为Chain.cer。 服务器证书中间证书连接 首先我们需要将中间证书Chain.cer加入到服务器证书Server.cer文件中,请将Chain.cer中的所有内容复制,并粘贴到Server.cer,顺序是: 第一段,服务器证书;第二段,中间证书,如下: -----BEGIN CERTIFICATE---
公钥私钥加密解密数字证书数字签名详解.docx
05-26
详细介绍了区块链使用的不对称加密在数字证书数字签名的应用
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA证书链,中间证书验证
weixin_43398250的博客
03-14 1476
使用openssl 工具生成 rsa及ecdsa证书链,公钥,私钥,签名,验证,root CA证书链,中间证书验证 openssl rsa ecdsa public key private key chain signature
SSLssl证书简介、ssl证书生成工具与ssl证书生成步骤
No8g攻城狮的博客
04-11 1447
因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信,更加安全,可以有效的保障用户的利益不受侵害。网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。完成后,自签名证书可以帮助测试,但在正式环境使用,还是建议使用可信CA颁发的证书OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
OpenSSL 生成签名证书
最新发布
HD243608836的博客
04-18 68
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证书 的天数完成:cmd在哪里运行的,生成证书会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
openssl 生成签名证书以及CA证书
jxhaha的博客
06-18 1333
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与证书类似,这里直接将命令贴上。中间证书的制作过程与证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
中间证书的使用
thlzjfefe的博客
03-13 1948
前言 我们经常在安装和部署SSL证书的时候,需要一同安装中间证书中间证书到底是什么?为什么必须要安装?为什么有时候,没有中间证书,我的IE也能正常访问HTTPS?为什么其他浏览器都OK了,但安卓手机就是不行了! 中间证书是什么 中间证书,其实也叫中间CA中间证书颁发机构,Intermediatecertificateauthority, Intermedia CA),对应的是证书颁发机构(Root certificateauthority ,Root CA)。为了验证证书是否可信,必须确保...
https详解证书服务器证书、用户证书的区别 jg证书
yuezhilangniao的博客
12-02 3886
什么是证书证书链的意思是有一个证书机构A,A生成证书B,B也可以生成证书C,那么A是证书。 操作系统预先安装的一些证书,都是国际上很有权威的证书机构,比如 verisign 、 ENTRUST 这些公司。 我们普通申请的ssl证书都是这些证书的孙证书证书中间证书中间证书ssl证书证书链的顺序是:ssl证书中间证书证书证书链上的每个证书都是被它相邻的证书发。
证书(root certificate)
weixin_40191861的博客
07-13 626
在和领域,)是屬於CA)的,是在中,的起點。证书颁发机构的角色有如现实世界中的,保證網路世界中電子證書持有人的。具體作法是透過,利用為多個客戶发多个不同的,形成一个以其证书為顶层的,在此中所有下層證書都会因為证书可被信赖而继承信任基礎。證書在中作為信任錨的起點角色證書沒有上層機構再為其本身作數位簽章,所以都是自簽證書。许多(例如)会預先安裝可被信任的证书,這代表用戶授權了應用軟件代為審核哪些憑證機構屬於可靠,例如是公認可靠的政府機關(如)、專職機構(如)等。應用軟件在。
证书中间证书之间的区别
-
11-20 6176
随着SSL证书的广泛应用,申请SSL证书的人也越来越多,但是很多使用SSL证书的用户其实并不太了解SSL证书。他们仅仅是因为要把站点从HTTP转换到HTTPS而申请使用SSL证书,而最终用户也只是获取SSL证书也是证书链的一部分而已。 在本文将为大家介绍关于SSL证书证书中间证书的知识。 什么是证书证书是指CA机构颁发SSL证书的核心,是信任链的起始点。证书是浏览器是否对...
JDK中利用keytool创建自签名证书
03-20
NULL 博文链接:https://yaodaqing.iteye.com/blog/790349
Android 安全加密:数字签名和数字证书详解
09-01
本文主要介绍Android 安全加密数字签名和数字证书的资料,这里整理详细的资料及数字签名和数字证书应用详解,有需要的小伙伴可以参考下
公钥私钥数字签名数字证书详解
01-20
公钥私钥数字签名数字证书详解
使用 OpenSSL 创建私有 CA:2 中间证书
weixin_30751947的博客
02-18 657
OpenSSL 创建私有 CA 三部曲:使用 OpenSSL 创建私有 CA:1 证书使用 OpenSSL 创建私有 CA:2 中间证书使用 OpenSSL 创建私有 CA:3 用户证书 本文将在前文《使用 OpenSSL 创建私有 CA:1 证书》的基础上介绍如何为私有 CA 创建中间证书。说明:本系列文章的演示环境为 Ubuntu 18.04,OpenSSL 的版本为 1.1.0g。 ...
https-OPenSSL证书生成及自签名证书
jll126的博客
12-21 3500
TLS(Transport Layer Security) 是SSL(Secure Socket Layer) 的后续版本certmgr.msc,运行中输入可以查看证书管理器win+r。证书签名请求文件,一个文件的后缀。证书私钥,由key生成CSR,等待被签名
使用Openssl生成证书CA以及发子证书
technologyleader的专栏
12-17 4062
openssl是当前非常流行的SSL密码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
证书(root certificate)是屬於证书颁发机构(CA)的公钥证书
weixin_40191861的博客
08-11 1023
在密码学和领域,)是屬於CA)的,是在中,的起點。证书颁发机构的角色有如现实世界中的公證行,保證網路世界中電子證書持有人的身份。具體作法是透過,利用數位簽章為多個客戶发多个不同的,形成一个以其证书為顶层的樹狀結構,在此传递关系中所有下層證書都会因為证书可被信赖而继承信任基礎。證書在中作為信任錨的起點角色證書沒有上層機構再為其本身作數位簽章,所以都是。许多(例如。
在线买火车票为什么要安装证书
zongliangyoung的博客
02-05 422
在线买火车票为什么要安装证书? 2012年1月8日发表评论阅读评论 本文想简单谈谈那个所谓的“证书”。在访问铁道部网上售票官网 www.12306.cn 后,有一个醒目的提示,为保证顺畅购票,需要下载安装证书。那么什么是证书?为什么买火车票的时候需要下载和安装,在淘宝等在线交易网站购物时候为什么就不需要这样做? 今年开始,人民群众们终于可以通过互联网购买火车票了。虽然说在线买的难...
openssl 生成证书 详解
04-01
OpenSSL是一个开源的加密库,可以用来生成证书、加密和解密数据以及生成密钥等。在Linux和Unix系统中,OpenSSL已经预装了。在Windows系统中,需要下载并安装OpenSSL。 以下是使用OpenSSL生成证书的步骤: 1. 生成私钥 首先,需要生成一个私钥。私钥是一串密文,用于加密和解密数据。在命令行中输入以下命令: openssl genrsa -out private.key 2048 其中,-out指定生成的私钥文件名为private.key,2048指定私钥长度为2048位。 2. 生成证书请求 生成私钥后,需要生成一个证书请求。证书请求包含了需要证书签名的信息,如组织名称、域名等。在命令行中输入以下命令: openssl req -new -key private.key -out request.csr 其中,-new指定生成一个新的证书请求,-key指定使用先前生成的私钥,-out指定生成证书请求文件名为request.csr。 在生成证书请求时,需要输入一些信息,如组织名称、组织单位、城市等。这些信息将被用于证书签名。 3. 证书 生成证书请求后,需要将其发送给证书颁发机构(CA签名。如果是自签名证书,可以使用以下命令自行签名openssl x509 -req -days 365 -in request.csr -signkey private.key -out certificate.crt 其中,-req指定使用证书请求证书,-days指定证书有效期为365天,-in指定证书请求文件名为request.csr,-signkey指定使用先前生成的私钥签名,-out指定生成证书文件名为certificate.crt。 4. 将证书和私钥打包 生成证书后,需要将证书和私钥打包,以便在需要时一起使用。在命令行中输入以下命令: openssl pkcs12 -export -in certificate.crt -inkey private.key -out certificate.p12 其中,-export指定将证书和私钥打包,-in指定证书文件名为certificate.crt,-inkey指定私钥文件名为private.key,-out指定生成的打包文件名为certificate.p12。 5. 验证证书 最后,可以使用以下命令验证证书是否正确: openssl verify certificate.crt 如果证书正确,会输出certificate.crt: OK。 以上就是使用OpenSSL生成证书的详细步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

N阶二进制

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值