openssl 生成带X509 V3 extension的证书

已于 2022-06-30 10:22:49 修改
阅读量3.4k 收藏 6
点赞数 1
分类专栏: 加密算法 文章标签: 大数据 https ssl
于 2022-06-30 10:16:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/FRcheng/article/details/125534093
版权
本文介绍了X509V3证书扩展配置格式,包括基本约束、密钥用途、主题备用名称等标准扩展。通过示例展示了如何使用OpenSSL命令行工具创建自签名CA证书、中间CA证书请求,并进行证书签发,同时添加如SAN、路径长度限制等扩展。
摘要由CSDN通过智能技术生成

x509v3_config

X509 V3 certificate extension configuration format

一些openssl的命令可以通过配置文件添加扩展到证书或者证书请求里面

配置文件的格式

【section】

extension_name=[critical,] extension_options

extension_options取决于extension_name

有四种类型的扩展

  1. string extensions, 就是一个字符串,这个串要么就是一个值,要么就是怎么获取这个值
  2. multi-valued extensions, 这种有长和短两种格式,短格式就是用逗号分割的名值列表,长格式是@section名表面值在另外一个section中
  3. raw 略

  4.  arbitrary extensions 略

短:basicConstraints=critical,CA:true,pathlen:1

长:basicConstraints=critical,@bs_section

        [bs_section]

        CA=true
        pathlen=1

标准扩展

  1. basicConstraints
  2. keyUsage
  3. extendedKeyUsage
  4. subjectKeyIdentifier
  5. authorityKeyIdentifier
  6. subjectAltName
  7. issuerAltName
  8. authorityInfoAccess
  9. crlDistributionPoints
  10. issuingDistributionPoint
  11. certificatePolicies
  12. policyConstraints
  13. inhibitAnyPolicy
  14. nameConstraints
  15. noCheck
  16. tlsfeature

生成带有SAN(subjectAltName)的证书

SAN简单来说就是一组名字集合,SAN里面的这些名字提供了验证证书的一个约束,验证证书的一方可以验证这组名字是否合法。里面可以包含email,URI,DNS,RID(a registered ID: OBJECT IDENTIFIER),IP,dirName(a distinguished name)

basicConstraints也是一个重要的扩展,basicConstraints=critical,CA:TRUE, pathlen:0,CA为TRUE表示这个证书是否是CA证书,是CA证书就可以作为CA给别人签发证书,pathlen的值表明CA下级的CA的级数,为0就不能有下级CA

自签名ca 证书和key
openssl req -newkey rsa:2048 -nodes -x509 -days 365 -subj "/CN=CN/ST=Hubei/L=Wuhan/O=Tencent/OU=QQ" -out ca.pem -keyout ca-key.pem


中间ca 证书请求和key
openssl req -newkey rsa:2048  -nodes -new -subj "/CN=CN/ST=Hubei/L=Wuhan/O=Tencent/OU=QQ.1" \
-addext "basicConstraints = critical, CA:true, pathlen:10" \
-addext "subjectAltName = IP:192.168.146.128,IP:127.0.0.1" \
-addext "extendedKeyUsage=serverAuth,clientAuth" \
-keyout mid-ca-key.pem -out mid-ca.csr

上面扩展也可以用下面两个代替
-config 配置文件路径
-reqexts section名字


用ca签发请求 生成证书
openssl x509 -req -days 365 -in mid-ca.csr -out mid-ca.pem \
  -CA ca.pem -CAkey ca-key.pem -CAcreateserial -extfile mb.conf -extensions mb

mb.conf文件内容
[mb]
basicConstraints = critical, CA:true
subjectAltName = IP:192.168.146.128,IP:127.0.0.1
extendedKeyUsage=serverAuth,clientAuth
 

看着捉急
关注
专栏目录
Java基于BC生成X509v3证书,以及部分扩展Extension的使用
07-09
Java基于BC生成X509v3证书,以及部分扩展Extension的使用,如:BasicConstraints、CRLDIstPoint、CertificatePolicies、PolicyMappings、KeyUsage、ExtendedKeyUsage、SubjectAlternativeName、AuthorityInfoAccess...
X509证书详解
热门推荐
weixin_38451161的博客
08-23 2万+
本文源于两篇英文文档,将其合二为一,翻译过程参考了网上的其它翻译以求更加准确,在此对这些翻译文档的作者表示感谢! 文中介绍的OpenSSL版本较老,与现有的版本有很多不符之处,但万变不离其宗,核心原理还是很有参考价值的。 1)证书 X.509标准是密码学里公钥证书的格式标准。X.509 证书己应用在包括TLS/SSL(WWW万维网安全浏览的基石)在内的众多 Internet协议里,同时它也有很多非在线的应用场景,比如电子签名服务。X.509证书含有公钥和标识(主机名、组织或个人),并由证书颁发机.
X509数字证书
好习惯成就伟大
11-16 5317
主要函数 1) X509_STORE_add_cert 将证书添加到X509_STORE中。 1)X509_STORE_add_crl 将crl添加到X509_STORE中。 2)void X509_STORE_set_flags(X509_STORE *ctx, long flags) 将flags赋值给ctx里面的flags,表明了验证证书时需要验证哪些项。 4) X509_TRUST_set_default 设置默认的X509_T...
openssl 生成X509 V3的根证书及签名证书
冰冻三尺非一日之寒
05-16 1万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
x509证书openssl、go生成证书
youngZ_H的博客
03-21 6668
文章目录x509证书1. 概述2. x509证书结构2.1 证书扩展字段(X509v3 extensions)2.1.1 Key Usage2.1.2 Extended Key Usage2.1.3 Basic Constraints2.1.4 Subject Key Identifier2.1.5 Subject Alternative Name3. 证书分类3.1 根证书3.2 中间证书3.3 实体证书4. 证书的输出格式5. 证书吊销6. OpenSSL使用6.1 生成公私钥6.1.1生成rsa公私钥
X509 证书生成
weixin_34280237的博客
12-29 1026
X509证书介绍X.509 是由国际电信联盟(ITU-T)制定的数字证书标准,相信这是人尽皆知的了,目前X.509证书据我所知有三个版本,.net中使用的是x.509-2,X.509-2 版引入了主体和签发人唯一标识符的概念,以解决主体和/或签发人名称在一段时间后可能重复使用的问题,x509-2(以下简称x509)证书由两把钥匙组成,通常称之为密钥对,公钥加密,私钥解密。今天我想在这里对x509进...
【使用openssl生成https v3版本证书
weixin_42282363的博客
07-27 2713
最后生成ca.srl,server.crt两个文件,此时一共生成了server.key,server.csr,ca.srl,ca.crt,server.crt 5个文件。HTTPS是在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性,安全基础为SSL(安全套接字协议),或者叫TLS。-x509:专用于CA生成自签证书,如果不是自签证书则不需要此项。-days:证书的有效期限,单位是天。生成默认的V1.0版本的证书。-key:用到的私钥文件。-out:证书的保存路径。最后生成ca.crt文件。
亚马逊创建X509证书的几种方式
dandingwangzi的专栏
02-11 1056
亚马逊创建证书的几种方式
利用openssl生成X509证书
weixin_44435327的博客
10-12 3553
利用openssl生成x509证书
openssl命令x509证书操作详解
N阶二进制的博客
11-03 6633
OpenSSL 是一个开源的加密和解密工具,它提供了一系列命令来操作证书和密钥。以下是一些常用的 OpenSSL 命令,用于操作证书的详细解释:生成自签名证书是指在没有经过任何第三方证书颁发机构(CA,Certificate Authority)的认证下,由个人或组织自行创建和签名的数字证书。自签名证书可以用于安全通信,但在实际应用中,它们通常用于测试、开发和内部使用,而不是在公共网络中使用,因为它们没有受到可信任 CA 的验证,可能会引发安全问题。在使用自签名证书时,虽然可以加密通信,但客户端在连接时通常
OpenSSL 编程 二:搭建 CA
OnlyLove_的博客
06-26 8456
证书 – 为公钥加上数字签名证书是由认证机构颁发的,使用者需要对证书进行验证,因此如果证书的格式千奇百怪那就不方便了。于是,人们制定了证书的标准规范,其中使用最广泛的是由ITU(International TelecommumcationUnion,国际电信联盟)和ISO(IntemationalOrganizationforStandardization, 国际标准化组织)制定的X.509规范。很多应用程序都支持x.509并将其作为证书生成和交换的标准规范。X.509是一种非常通用的证书格式。所有的证书
OpenSSL生成ssl证书
01-11
openssl x509 -req -days 365 -in CSR.csr -signkey private.key -out certificate.crt ``` 这会生成一个有效期为365天的自签名证书`certificate.crt`。 5. **合并证书和私钥**:为了简化Nginx配置,你可以将...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
openssl文档_openssl_x509_
10-04
在IT领域,OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含用于处理公钥基础设施(PKI)的工具,如X.509证书、密钥对生成以及加密算法。X.509是用于身份验证的标准,它定义了数字...
openssl 生成v3证书
wangsifu2009的专栏
06-30 5676
今天一下午都在调这个,网上也到处搜帖子,提问的一大票,能解决的暂时没有发现~~~~~ 想使用openssl生成一个只能用于签名的证书,即证书的扩展属性:密钥用途,只能用于数字签名~但是我们一般使用openssl生成证书时,生成证书都是v1证书,是不扩展属性的~~  方法: 在使用CA证书进行签署证书时:openssl x509 –req –in other-re
OpenSSL制作自签名V3证书
Lazyafei's Blog
04-14 5269
本文以制作指定ip(200.4.170.132)证书为例,其他ip或域名请自行更换。 1、创建根证书私钥 openssl genrsa -out RootCA.key 1024 2、创建根证书请求文件(CSR - Certificate Signing Request ) openssl req -subj "/C=CN/ST=Beijing/L=Beijing/O=lazyOrg/OU=lazyOrg/CN=root/emailAddress=afei@lazy.com" ...
openssl生成v3_如何使用OpenSSL生成包括通用(任意)扩展的证书请求?
weixin_39755890的博客
12-22 1048
我一直在网上搜索几个小时,我找不到办法做到这一点.我已经能够使用以下命令创建自签名CA证书openssl genrsa -out ca.key 1024openssl req -new -x509 -extensions v3_ca -key ca.key -out ca.crt -days 3650现在我想创建新证书并与我的CA签名.在新证书中,我希望拥有自己的扩展名 – 我们可以将其称为“a...
py之X509CA证书制作小工具
最新发布
我不是萧海哇的博客
06-06 296
【代码】py之X509CA证书制作小工具。
openssl 如何生成X509证书
05-26
生成 X509 证书,可以使用 OpenSSL 库中提供的命令行工具。以下是在 Linux 环境下生成自签名 X509 证书的步骤: 1. 打开终端并安装 OpenSSL 工具(如果尚未安装): ``` sudo apt-get update sudo apt-get install openssl ``` 2. 生成私钥: ``` openssl genpkey -algorithm RSA -out private_key.pem -aes256 ``` 这将使用 RSA 算法生成一个 AES256 加密的私钥并将其保存到名为 `private_key.pem` 的文件中。 3. 生成证书签名请求(CSR): ``` openssl req -new -key private_key.pem -out cert.csr ``` 这将使用私钥 `private_key.pem` 生成一个证书签名请求,并将其保存到名为 `cert.csr` 的文件中。 4. 生成自签名证书: ``` openssl x509 -req -days 365 -in cert.csr -signkey private_key.pem -out certificate.pem ``` 这将使用证书签名请求 `cert.csr` 和私钥 `private_key.pem` 生成一个有效期为 365 天的自签名 X509 证书,并将其保存到名为 `certificate.pem` 的文件中。 现在你就可以使用 `certificate.pem` 文件作为 SSL 证书来进行加密通信了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值