24、OpenSSL生成CA证书及终端用户证书

已于 2023-11-21 16:19:56 修改
阅读量4.4k 收藏 3
点赞数
分类专栏: Question And Knowledge 文章标签: crt csr https证书配置
于 2022-03-15 17:31:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LetsStudy/article/details/123506619
版权

1、准备ca.conf配置文件

内容如下

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = CA Test

2、生成ca.key

openssl genrsa -out ca.key 4096

3、生成ca证书签发请求ca.csr

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

4、生成ca.crt证书

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

5、准备终端配置文件

server.conf

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = www.crttest2022.com

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = www.crttest2022.com
DNS.2   = www.crttest2022.com
IP      = 192.168.1.245

6、生成服务端密钥server.key

openssl genrsa -out server.key 2048

7、生成服务端证书签发请求,server.csr

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

8、生成服务端证书,server.crt

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial 
-in server.csr -out server.crt -extensions req_ext -extfile server.conf

9、修改hosts

127.0.0.1 www.crttest2022.com

10、配置nginx.conf

将server.crt和server.key放到nginx.conf同级目录

server {
    listen 80;
    server_name www.crttest2022.com;
    #将请求转成https
    rewrite ^(.*)$ https://$host$1 permanent;
}
    server {
        listen  443 ssl;
        server_name  www.crttest2022.com;
        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;
		root C://dist;
		index index.html index.htm;
      location ^~ /api/{
            proxy_pass http://127.0.0.1:7001;
            proxy_send_timeout 1800;
            proxy_read_timeout 1800;
            proxy_connect_timeout 1800;
            client_max_body_size 2048m;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "Upgrade";
            proxy_set_header  Host              $http_host;   
            proxy_set_header  X-Real-IP         $remote_addr; # pass on real client's IP
            proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header  X-Forwarded-Proto $scheme;
        }
        location ^~ /auth/{
            proxy_pass http://127.0.0.1:7001;
            proxy_send_timeout 1800;
            proxy_read_timeout 1800;
            proxy_connect_timeout 1800;
            client_max_body_size 2048m;
            proxy_http_version 1.1;
            proxy_set_header Upgrade $http_upgrade;
            proxy_set_header Connection "Upgrade";
            proxy_set_header  Host              $http_host;   
            proxy_set_header  X-Real-IP         $remote_addr; # pass on real client's IP
            proxy_set_header  X-Forwarded-For   $proxy_add_x_forwarded_for;
            proxy_set_header  X-Forwarded-Proto $scheme;
        }
    }

11、访问www.crttest2022.com,展示了不安全的连接

12、安装ca.crt,添加到受信任的颁发机构

13、edge访问

14、chrome访问

LetsStudy
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL 生成CA证书及终端用户证书(1)
2401_84048554的博客
05-06 726
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
OpenSSL 生成CA证书及终端用户证书
m0_63174811的博客
11-20 638
3、生成ca证书签发请求,得到ca.csr $ openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf 配置文件中已经有默认值了,shell交互时一路回车就行。 4、生成ca证书,得到ca.crt $ openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt 三、生成服务端证书 1、配置文件 准备配置文件,得到server.conf,内容如下: [ re
CA证书制作工具
11-14
非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。
openssl 关于CA的使用
入琞的博客
08-03 788
第一步:创建目录结构 这些结构与config文件有关系 A创建目录结构:certs、client、crl、newcerts、private B创建文件index.txt serial C echo "01" > /etc/pki/CA/serial 第二步:配置文件 配置config文件:openssl.cnf /etc/ssl/openssl.cnf有系统的default文件; 但不能直接运行,需要修改成自己的路径和key [ CA_default ] dir..
OpenSSL生成证书
01-14 345
去除文件口令,复制server.key并重命名server.key.org。创建服务器证书的申请文件server.csr。创建服务器证书(有效期十年)
openssl给内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 5861
openssl给内网IP生成ca证书(ssl证书)
openssl 自签证书
lingqiao023的博客
05-01 318
生成CA证书 生成ca秘钥,得到ca.key $ openssl genrsa -out ca.key 4096 生成ca证书签发请求,得到ca.csr $ cat << 'EOF' > ca.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req...
openssl生成的多级CAdemo
05-14
在多级CA结构中,通常有一个根CA,它是最顶级的、自我签发的CA,然后是中间CA,它们由根CA签发,最后是终端实体证书,如服务器或用户证书,由中间CA签发。 在本示例中,我们有三级CA:根CA、一级中间CA和二级中间CA...
Linux 中的 Openssl命令及实例代码
09-15
OpenSSL命令行工具允许用户在终端中执行各种操作,如生成密钥对、创建和验证数字签名、进行加密解密等。 首先,OpenSSL包含了多种对称加密算法,如AES、DES、Blowfish、CAST、IDEA、RC2、RC5。这些算法在数据加密中...
制作HTTPS域名证书
02-23
. 生成证书 2.1 准备配置文件ca.conf ...2. 生成终端用户证书 2.1 准备配置文件server.conf 2.2 生成秘钥,得到server.key openssl genrsa -out server.key 2048 2.3 生成证书签发请求,得到server.csr
EJBCA创建证书图解
03-24
7. **签发证书**:批准后,CA使用私钥对CSR进行签名,生成最终的证书。 8. **下载并安装证书**:终端实体下载证书,并安装到相应的系统或应用中。 9. **证书撤销**:如果证书丢失或被盗,可通过CRL(Certificate ...
openssl密钥生成工具
12-26
openssl密钥生成工具,用于生成公钥私钥
cert-tool:用于管理X509 certskeys的命令行Perl脚本
02-05
7. **命令行界面**:`cert-tool`作为命令行工具,允许用户通过终端执行各种证书管理任务,提高了效率,尤其是在自动化脚本中。 8. **证书格式转换**:不同应用或系统可能需要证书和密钥以不同的格式存在,如PEM、...
openssl创建CA证书教程
justlpf的专栏
09-21 3454
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
自己做CA自签名证书生成
02-25 1609
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。 一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发的证书也会被信任。 最近做了个iOS ipa包上传下载程序,也需要使用https链接,上网查了下...
openssl网站证书生成,简洁明了。
m0_71188683的博客
05-25 306
openssl网站证书生成
使用openssl创建自签名证书
天气怎么样的博客
11-25 474
使用openssl创建自签名证书1.创建根CA(完成一次)1.1创建根密钥1.2创建并自签名根证书2.创建证书(为每个服务器完成)2.1创建证书密钥2.2创建签名(csr)2.3使用签名xxx.com.csr证书密钥xxx.com.key以及CA密钥rootCA.key和CA签名rootCA.crt生成证书参考 1.创建根CA(完成一次) 1.1创建根密钥 注意:这是用于签署证书请求的密钥,持有此证书的任何人都可以代表您签署证书。因此,请将其保存在安全的地方! openssl genrsa -des3 -
Openssl配置CA证书及https访问
weixin_30951743的博客
09-24 1234
一、创建根秘钥对 1.创建目录 cd mkdir /root/ca cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 > serialtouch openssl.cnf 2.编辑openssl配置文件openssl.cnf,将...
使用OpenSSL生成自签名证书
最新发布
qq_28938301的博客
09-28 1167
生成证书签名请求(Certificate Signing Request,CSR):下一步是生成包含本地证书信息的 CSR 文件。使用编程语言和库:可以使用编程语言(如Python、Java、C#等)中的相关库来生成自签名证书。使用在线工具:有一些在线工具可用于生成自签名证书,无需在本地安装任何软件。访问这些网站,填写必要的证书信息,然后在线生成自签名证书生成私钥:首先,首先需要生成一个私钥。签名证书:使用私钥对 CSR(扩展名为csr) 文件进行签名,生成自签名证书。等库来生成自签名证书
如何使用openssl生成ca证书
07-25
要使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令生成一个新的私钥文件(例如ca.key): ```shell openssl genrsa -out ca.key 2048 ``` 这将生成一个2048位的RSA私钥文件。 3. 创建证书请求:使用私钥文件创建证书请求(CSR)。运行以下命令: ```shell openssl req -new -key ca.key -out ca.csr ``` 在运行命令后,你需要提供一些组织和地理位置信息。 4. 自签名证书:使用CSR文件自签名证书。运行以下命令: ```shell openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 这将生成自签名的CA证书文件(例如ca.crt)。 5. 验证证书:你可以使用以下命令验证生成证书: ```shell openssl x509 -in ca.crt -text -noout ``` 这将显示证书的详细信息,包括颁发者、有效期等。 现在你已经成功生成了自签名的CA证书。请注意,这只是一个简单示例,用于了解如何使用OpenSSL生成CA证书。在实际使用中,你可能需要更多的配置和选项来满足你的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值