openssl自建CA证书(亲验证)

最新推荐文章于 2022-08-05 00:12:16 发布
最新推荐文章于 2022-08-05 00:12:16 发布
阅读量2.3k 收藏 1
点赞数
分类专栏: 证书 CA 文章标签: 证书 CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mchange/article/details/41824149
版权
证书 同时被 2 个专栏收录
2 篇文章 0 订阅
订阅专栏
CA
1 篇文章 0 订阅
订阅专栏
  
1. 准备
     1) 在 工作目录 下新建目录 demoCA、demoCA/private、demoCA/newcerts( 工作目录:/home/userName )
    2) 在demoCA建立一个空文件 index.txt
    3) 在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000
    4) 配置环境变量PATH,加入%JAVA_HOME%/bin( 如果安装了多个版本的jdk,最好暂时都在环境变量中去掉,只保留一个 )
    5) 修改openssl.cnf文件,将生成目录切换到我们自己新建的工作目录中;
        dir = /home/userName/demoCA # Where everything

   
2. 生成CA签名证书(在命令终端,将目录切换到/home/userName/demoCA,一直在该目录下操作
    openssl req -new -x509 -keyout ca.key -out ca.cer -days 3650
    req命令表示创建证书,new参数表示创建私钥而不是从已存在的文件中读取。
    输入证书信息时,Country Name填入CN,Common Name输入单位名称,即最后显示的颁发者。
    执行完之后,生成ca.key 和ca.cer文件

   
3.  生成server端待签证书
        1)  首先要生成服务器端的私钥(key文件):
        openssl genrsa -des3 -out server.key 1024
        运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
        去除key文件口令的命令:
        openssl rsa -in server.key -out server.key

        2) 生成csr(cer)证书
            openssl req -new -key server.key -out server.csr
        生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.( 输入common name时,要和服务器的域名保持一致,test.baidu.com, )

   
4. 用生成的CA证书对服务器端的证书进行签名
        openssl ca -in server.csr -out server.cer -cert ca.cer -keyfile ca.key
          在签名时,如果报“The stateOrProvinceName field needed to be the same in the CA certificate”,是因为在openssl.cnf中的policy_match里面        的前三个都选了match,修改成 
        stateOrProvinceName = optional  
        organizationName = optional  
就可以了








Mchange
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openssl制作小CA做https通信
I am a cabbage
06-13 1009
  什么是CA呢?如果不知道那就问问百度吧!我就不在这里做过多解释,直接进入正题了  首先CA有其专有的存放位置,在/etc/pki/CAopenssl命令运行的时候需要读取/etc/pki/tls/openssl.cnf。下面介绍其步骤。  1.修改openssl的配置文件openssl.cnf     #vim /etc/pki/tls/openssl.cnf     修改[
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
2. 创建根CA证书:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创建根CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
OpenSSL如何创建CA和申请证书
11-11 811
OpenSSL简介OpenSSL是一种加密工具套件,可实现安全套接字层(SSL v2 / v3)和传输层安全性(TLS v1)网络协议以及它们所需的相关加密标准。open...
opensslCA创建,证书颁发与验证
11-03 283
开发包:openssl-1.0.2a (1)建立目录 建立主目录E:/openssl/demoCA 主目录下建立certs, private,crl,newcerts文件夹 主目录下创建index.txt和serial文件,其中serial写入01 (2)配置文件的更改 注:需要配置环境变量OPENSSL_CONF 修改dir为E:/openssl/demoCA 修改priva
openssl实现自建CA证书服务器
weixin_33785108的博客
03-12 659
早期在网络上传输的数据都是明文的,像http,ftp,telnet等协议,这样非常的不安全,只需要简单的抓包分析一下,你的账号和口令就一览无余。所以脑细胞发达的大神们自然不能坐视不管,于是乎各种加密算法就此诞生了。其实加密的历史非常久远了,很久很久以前,江湖人士为了防止隔墙有耳就发明了“行话”或者称之为“暗语”,这样即使咱们听到他们说什么,却也不知道人家在说什么,这对于我们来...
通过openssl搭建CA中心验证签名证书有效
weixin_30485379的博客
03-25 386
在linux下搭建CA中心,并在客户端验证CA签名是否正确:   在linux上搭建CA中心主要是通过openssl工具包进行的:   1.ca中心的文件夹结构树      demoCA/ |--cacert.pem |--certs | |--01.pem |--index.txt |--index.txt.attr |--openssl.cnf |...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
CA证书是信任的根,用于签署其他证书,确保网络中的身份验证。生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell ...
利用openssl自制CA证书
09-13
本教程将深入探讨如何利用开源工具openssl创建自定义的证书颁发机构(CA),并实现CA证书安装到浏览器的受信任根证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL是一个强大的安全...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名的证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
ssl.tar.gz_python openssl_证书_证书验证
09-24
3. **创建客户端**: 客户端也需要加载信任的CA证书(如果使用自签名证书,需将其添加到信任库),然后创建连接:`context.load_verify_locations(cafile="server.crt")`,之后的流程与服务器类似。 **证书验证** ...
使用OpenSSL实现CA证书搭建过程
weixin_34345560的博客
09-14 465
个人博客地址:http://www.pojun.tech/欢迎访问什么是CACA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访...
java openssl ca_Https、OpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问...
weixin_34769715的博客
03-04 221
0.环境安装了nginx,安装了openssl1.配置和脚本先创建一个demo目录(位置自己选择,我选择建在nginx的目录下):mkdir /etc/nginx/ca-democd/etc/nginx/ca-demo修改SSL配置openssl.cnf(也可能是openssl.conf,不知道在哪可以用find -name / openssl.cnf查找)将dir属性改成你上一步自建的目录,不要...
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2847
在MAC OS使用命令行OpenSSL生成SSL证书时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf
openssl验证证书是否由CA证书颁发的问题
weixin_42636055的博客
06-10 2790
lookup: unable to get issuer certificate openssl 使用以上命令验证证书是否由CA签发时,报错如上标题,但可确定目标证书app.crt是由ca.crt所签发的;
openssl 证书验证
swj9099的博客
08-05 6107
本节中我们快速浏览一下证书验证的主干代码。读者可以采用上节中生成的VC工程进行验证。 下面列出关键部分代码,为方便阅读,仅保留与证书验证强相关的代码,去掉了诸如变量定义、错误处理、资源释放等非主要代码,并修改了排版格式。 // 初始入口为 apps\verify.c 中的 MAIN 函数 // 为利于代码阅读,下面尝试将相关代码放在一起(采用函数调用栈的形式,被调用函数的代码排版缩进...
openssl之数字证书签名,CA认证原理及详细操作
u013322876的博客
07-02 9069
http://blog.sina.com.cn/s/blog_cfee55a70102wn3h.html openssl之数字证书签名,CA认证原理及详细操作   (2016-03-23 09:42:39) 转载▼ 标签:  rsa   ca认证   php签名   非对称加密技术 分类: 软件设计
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6375
openssl ca
Ubuntu中HTTP抓包工具Charles的配置(解决由于SSL导致的乱码问题)
moqsien的博客
03-30 6784
第一步,Charles官网下载deb包,用sudo dpkg -i命令安装,或者按照说明将其添加到软件源,用sudo apt install就能安装,这一点不赘述;第二步,下载Charles的SSL根证书:Help -> SSL Proxying -> Install Charles Root Certificate,安装后,应该能在home目录的.charles/ca/中找到char...
OPENSSL X509证书验证
eyucham的专栏
02-13 3694
openssl实现了标准的x509v3数字证书,其源码在crypto/x509和crypto/x509v3中。其中x509目录实现了数字证书以及证书申请相关的各种函数,包括了X509和X509_REQ结构的设置、读取、打印和比较;数字证书验证、摘要;各种公钥的导入导出等功能。x509v3目录主要实现了数字证书扩展项相关的函数。 在进行身份认证时,首先要对发送给服务器进行认证的x509证书有效性...
openssl使用ca证书验证证书命令
06-02
如果要使用CA证书验证服务器证书,可以使用以下命令: ``` openssl verify -CAfile <CA证书文件名> <服务器证书文件名> ``` 例如,要使用名为ca.crt的CA证书文件来验证名为server.crt的服务器证书文件,可以使用以下命令: ``` openssl verify -CAfile ca.crt server.crt ``` 如果服务器证书文件有效且由该CA证书签发,则命令输出结果为: ``` server.crt: OK ``` 如果服务器证书文件无效或未由该CA证书签发,则命令输出结果为: ``` server.crt: C = US, ST = California, L = Los Angeles, O = Example Company, CN = example.com error 20 at depth 0: unable to get local issuer certificate ``` 其中,error 20表示证书无效的原因,depth 0表示证书的层级(根证书为0,下级证书为1,以此类推)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值