SSL 自定义证书创建过程

于 2024-05-16 15:37:42 发布
阅读量707 收藏 17
点赞数 21
文章标签: ssl 服务器 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/UX_LEGEND/article/details/138923928
版权

1、生成自签名根证书和私钥

1.1 生成根证书

1.1.1生成根证书私钥

首先,生成一个自签名的根证书和私钥。这个根证书将作为信任锚(Trust Anchor),客户端会信任由这个根证书签署的所有证书。

openssl genrsa -out rootCA.key 2048

参数解释:

  • openssl: OpenSSL工具的主命令。
  • genrsa: 生成RSA密钥对的命令。
  • -out rootCA.key: 指定输出文件名为rootCA.key,这是生成的私钥文件。
  • 2048: 指定密钥的长度为2048位。

1.2 生成根证书 

创建openssl.cnf 文件,文件内容如下:

[ req ]
default_bits       = 2048
default_keyfile    = rootCA.key
distinguished_name = req_distinguished_name
prompt             = no

[ req_distinguished_name ]
C            = CN
ST           = Shanghai
L            = Shanghai
O            = CodeProject
OU           = Development
CN           = CodeProject Root CA

1.2.1生成根证书rootCA.crt 

命令如下:

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 36500 -out rootCA.crt -config openssl.cnf

 解释

  • -x509:表示生成自签名证书(而不是证书签名请求)。
  • -new:表示生成新证书。
  • -nodes:表示不加密私钥文件(即不需要密码保护)。
  • -key rootCA.key:指定私钥文件为rootCA.key
  • -sha256:使用SHA-256哈希算法。
  • -days 36500:指定证书的有效期为36500天(约100年)。
  • -out rootCA.crt:指定输出的证书文件名为rootCA.crt
  • -config openssl.cnf:指定使用openssl.cnf配置文件中的信息。

1.3为什么根证书不要CSR 文件 

在生成根证书(Root CA 证书)时,不需要 CSR(证书签名请求)文件,这是因为根证书是自签名的。具体来说,根证书的生成过程和普通证书不同,以下是详细解释:

什么是根证书?

根证书是公钥基础设施(PKI)中的顶级证书,它用来签署其他证书,包括中间证书和最终用户证书。根证书通常由证书颁发机构(CA)生成和自签名。

自签名证书和CSR的区别

1. 自签名证书

自签名证书是由自身私钥签名的证书。因为它是信任链的起点,所以不需要外部的证书颁发机构(CA)来签署。这就是为什么在生成根证书时不需要 CSR 文件的原因。

生成自签名根证书的过程如下:

  1. 生成一对密钥(公钥和私钥)。
  2. 使用私钥签署生成的证书。

2. 生成服务端证书

2.1生成服务端私钥

openssl genrsa -out server.key 2048

 

创建OpenSSL配置文件

创建一个名为openssl.cnf的文件,并添加以下内容:

[ req ]
default_bits       = 2048
default_keyfile    = server.key
distinguished_name = req_distinguished_name
prompt             = no

[ req_distinguished_name ]
C            = CN
ST           = Shanghai
L            = Shanghai
O            = CodeProject
OU           = Development
CN           = example.com
生成CSR

确保server.key文件和openssl.cnf文件在同一个目录下,然后运行以下命令:

openssl req -new -config openssl.cnf -key server.key -out server.csr

使用根证书签署服务端证书

openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 365 -sha256

参数解释:

  • x509: 用于处理X.509证书的命令。
  • -req: 表示输入是一个证书签名请求(CSR)。
  • -in server.csr: 指定输入文件名为server.csr,这是前面生成的CSR文件。
  • -CA rootCA.crt: 指定用作CA的根证书文件rootCA.crt
  • -CAkey rootCA.key: 指定用于签署的根证书私钥文件rootCA.key
  • -CAcreateserial: 如果没有rootCA.srl文件,创建一个新的序列号文件。
  • -out server.crt: 指定输出文件名为server.crt,这是生成的服务端证书。
  • -days 365: 证书的有效期为365天(1年)。
  • -sha256: 使用SHA-256哈希算法。

类比解释:信任关系

假设有一个大公司(根证书),公司里有一个高管(服务端证书),还有许多员工(客户端)。公司决定了一套信任规则来管理所有员工的工作和身份验证。

  1. 大公司发布了自己的信任凭证(根证书):

    • 大公司自己发布了一个“公司章”(自签名证书),所有员工都认可这个公司章。
    • 这个公司章表示大公司本身是可信的,不需要别人来验证它,因为所有人都知道它并信任它。

  2. 高管获得了公司的信任凭证(服务端证书):

    • 高管需要一个身份验证(服务端证书),于是公司用自己的公司章给高管发布了一个高管身份验证文件。
    • 这个文件上盖有公司章(根证书签名),所以所有员工都可以验证这个文件的真实性。

  3. 员工信任公司的信任凭证(客户端信任根证书):

    • 公司在入职培训时告诉所有员工,任何带有公司章的文件都是可信的。
    • 因此,员工会把公司章(根证书)存储在他们的记忆中,并用它来验证任何带有公司章的文件。

更新服务端证书

现在,高管的身份验证文件(服务端证书)即将过期,需要更新:

  1. 高管申请新文件

    • 高管向公司申请一个新的身份验证文件(新的服务端证书)。
    • 公司用自己的公司章(根证书)再次签署并发布新的身份验证文件。

  2. 员工验证新的高管文件

    • 新的身份验证文件依然带有公司章(根证书签名)。
    • 员工使用存储在他们记忆中的公司章(客户端信任的根证书)来验证新的文件。

关键点

  • 根证书(公司章)始终是相同的:根证书是公司自己签发并受信任的,所以它在信任链的最顶端。
  • 签名链的完整性:无论高管的身份验证文件(服务端证书)更新多少次,只要它是由根证书(公司章)签署的,员工(客户端)就能验证其真实性。
  • 客户端只需要信任根证书:客户端(员工)只需要一次性信任根证书(公司章)。之后,任何由这个根证书签署的证书(身份验证文件)都能被验证成功。

总结

由根证书签发的服务端证书,即使更新了,客户端依然能验证成功的原因在于:

  • 客户端只需要信任一次根证书。
  • 任何由根证书签署的证书,都能被客户端验证。
  • 更新后的服务端证书依然由同一个根证书签署,确保了信任链的完整性。

通过这个类比,您可以更直观地理解根证书和服务端证书之间的信任关系,以及为什么客户端在根证书不变的情况下可以持续信任更新后的服务端证书。

 

 

UX_LEGEND
关注
  • 21
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nginx配置Https自定义签名证书
weixin_51788950的博客
02-13 1018
Nginx配置Https自定义签名证书
rootca.crt
04-07
D:\Java1.8\jdk1.8.0_20_64\bin\rootca.crt 证书
koa-route-ssl-auth-example:使用基于证书的身份验证的示例项目
04-30
一步一步创建 HTTPS 服务示例项目 博客原文链接在这里: 启动服务端 npm run server 运行客户端 使用默认客户端: npm run client 或使用自定义客户端: npm run client 客户端名 对应 ssl/client/ 目录下对应需存在文件: 客户端名.key 客户端名.crt 生成客户端证书 CLI (需要先完成 CA 证书创建) npm run cert
terraform-aws-s3-cloudfront-website:用于使用带有SSL证书的CloudFront创建静态S3网站的Terraform模块(例如,来自ACM)
05-07
Terraform模块使用CloudFront,ACM设置S3网站 该模块可帮助您创建S3网站,并假定: 它通过亚马逊的证书管理器(“ ACM”)运行HTTPS 其域由Route53区域支持 当然,您的AWS账户可让您访问所有这些必要资源。 上提供了此模块。 该模块与配对使用,该模块使用S3,CloudFront和ACM处理将DNS主机名重定向到网站的操作。 样品用量 您可以从字面上复制并粘贴以下示例,更改以下属性,然后就可以开始了: allowed_ips :如果可以公开访问,请将其设置为“ 0.0.0.0/0” fqdn :设置为您的静态网站的主机名 domain :设置为您的静态网站的基本域名(例如xyz.com ) cf_ipv6_enabled :默认为true ,启用功能。 single_page_application :默认为false 。 如果为true
【https】how do they(server.crt server.key rootca.crt) work?
最新发布
我怀念的
03-12 504
Server.crt, server.key, and rootca.crt are typically used in the context of setting up secure communication over HTTPS, often referred to as SSL/TLS (Secure Sockets Layer/Transport Layer Security). Here’s how they work together:server.crt (Server Certifica
self-signed SSL certificate tool
07-03
这是一个证书生成工具,用它可以在 IIS 中创建自签名的证书。 它可以自定义证书的 CN,比 IIS 7 中自带的创建自签名证书的功能好很多。 比如你是一名 Web 开发人员,希望在本地 IIS 上部署支持 HTTPS 的站点, 并且希望在 IE 或者 Chrome 下信任本地 HTTPS,那么这个工具对你非常有用。 比如,在本地 IIS 上创建一个站点: www.mytest.com,并希望启用 HTTPS 你当然会为 www.mytest.com 创建一条 host 指向 127.0.0.1 你还需要一个证书,来支持启用 HTTPS. IIS7 中,只能创建颁发给 "localhost" 的证书。 这时你可以使用此工具,创建一个颁发给 "www.mytest.com" 的证书。 Microsoft (R) SelfSSL Version 1.0 Copyright (C) 2003 Microsoft Corporation. All rights reserved. Installs self-signed SSL certificate into IIS.
MEDUZA:适用于iOS的或多或少通用的SSL取消固定工具
03-21
麦杜莎 “ MEDUZA”(“медуза”)在乌克兰语中的意思是“水母” :Ukraine: 。 什么是MEDUZA? 这是一个基于的工具,是我替代的工具。我创建了供内部使用的软件,但后来决定将其开源。 TBH,我讨厌开源,但是这个世界充满了妥协……:( 它是如何工作的? 这很简单。第一次,您运行应用程序时没有嗅探,并像往常一样使用它。 MEDUZA安静地坐着,收集应用程序用来连接服务器的证书。然后MEDUZA生成一个Frida脚本,该脚本伪造(== upnin)收集的证书。因此,您第二次运行该应用程序,使用生成的脚本,并使用mitmproxy捕获流量。 局限性 MEDUZA只能使用iOS系统SSL库取消固定应用程序。某些应用程序(例如Instagram)不使用系统SSL库,而是实现一些第三方自定义SSL堆栈(例如,Instagram使用静态链接到Instagram私有框架的OpenSSL,有关详细
dynatrace_activegate_plugin_ssl_expiration_check:此插件检查使用GUI输入的URL的TLSSSL证书过期日期,如果证书过期天数达到阈值,则会产生问题。 此外,如果需要,请摄取剩余天数的度量,以便能够创建定义图表和自定义警报
02-18
Dynatrace Activegate TLS / SSL证书到期检查插件 该插件会检查使用GUI输入的URL的TLS / SSL证书到期日期,如果证书到期天数达到阈值,则会产生问题。 另外,请摄取剩余天数的度量,以便能够根据需要创建定义图表和自定义警报。 图像问题 均匀成像 图像度量 要求 此插件需要以下内容: Dynatrace Environment ActiveGate v1.199.101或更高版本 对Dynatrace Environment ActiveGate Server的Sudo访问 访问Dynatrace租户中的设置 安装 ActiveGate插件需要安装在将要执行它的Environment ActiveGate Server上,并需要使用UI安装在Dynatrace Server中。 Dynatrace租户 使用GUI将插件上载到Dynatrace租户:设置
Nginx生成自定义证书
weixin_64311421的博客
02-06 2470
nginx生成自定义证书
手机抓包安装证书
RSalike的博客
11-13 843
4. 设置 > 安全 > 更多安全设置 > 加密与凭证 > 从存储设备中安装 >选择手机空间后搜“charles”>然后选择下载好的charles-proxy-ssl-proxying-certificate.crt安装即可。安装成功后,抓包工具Charles即可对该手机上的测试包进行抓包。安装成功后,网页版抓包工具whistle即可对该手机上的测试包进行抓包。3.设置 > 安全 > 更多安全设置 > 加密与凭证 > 从存储设备中安装 >1.Charles其他配置准备好的情况下,如图依次点开。
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 3130
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
定义生成ssl证书
ss810540895的博客
03-31 947
选择自己电脑对应的版本然后下一步下一步安装完成即可。
curl+个人证书(又叫客户端证书)访问https站点
chenqiaojia8964的博客
12-06 455
目前,大公司的OA管理系统(俗称内网),安全性要求较高,通常采用https的双向认证模式。 首先,什么是https,简单的说就是在SSL协议之上实现的http协议(get、post等操作)。更多的介绍参看这里。 以下,为SSL握手过程: 1. 客户端的浏览器向服务器传送客户端 SSL 协议的版...
HTTPS与自制SSL证书
u010148813的专栏
12-15 4971
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
java自定义证书,向OkHttp客户端添加自定义证书
weixin_36023192的博客
03-01 526
I am trying to make Android app, where I can get and parse HTML (from site which doesnt have API). I am using OkHttp. The site has untrusted (but valid) certificate. I am getting:java.security.cert.Ce...
docker MariaDB使用SSL及使用OpenSSL生成自定义证书
Meta39的博客
10-15 1155
docker MariaDB使用SSL及使用OpenSSL生成自定义证书
局域网https自签名教程
Stestack的博客
02-28 2084
们的客户是在内网环境里面,所以就只能用自签名证书来搞,我一想这还不容易,就迅速的百度了一下随便找了个文章开始照猫画虎,很快就弄完了,但是弄完后发现还是有问题,而且https 还是报不安全,1、基于nginx版本1、证书生成。
制作自定义证书,uniapp安卓打包使用及获取签名方法
ting0712的博客
04-12 7017
需安装Java的JDK到本地; 推荐使用jdk 8.0版本的,生成的证书指纹有MD5、SHA1和SHA256三种,别的签名可能只有两种。 检查好jdk版本,配置好环境变量,就可以开始制作自定义证书了 找到jdk安装的bin目录, 在该目录下shift+右键进入命令控制台 输入: keytool -genkey -alias com.xxx.xxx -keyalg RSA -sigalg SHA1WithRSA -validity 40000-keysize 1024-keysto...
使用OpenSSL来生成NGINX SSL定义证书
09-10
### 回答1: 要使用 OpenSSL 生成一个自定义SSL 证书,你可以按照以下步骤进行: 1. 安装 OpenSSL 工具: 如果你使用的是 Linux 或 macOS,可以使用系统的包管理器来安装 OpenSSL。如果你使用的是 Windows,则可以从 OpenSSL 的官方网站上下载 Windows 版本的 OpenSSL 工具。 2. 生成 SSL 私钥: 使用以下命令生成一个 SSL 私钥文件(例如,server.key): ``` openssl genrsa -out server.key 2048 ``` 这将生成一个 2048 位的 RSA 密钥对,其中 server.key 是私钥文件的名称。请注意,这个私钥文件应该只能被服务器使用,因此请妥善保管它。 3. 生成证书签名请求(CSR): 使用以下命令生成一个 CSR 文件(例如,server.csr): ``` openssl req -new -key server.key -out server.csr ``` 这将提示你输入一些有关证书的信息,例如国家/地区、州/省、城市、组织和 Common Name(通用名称)。请务必确保在 Common Name 中输入与你要使用该证书的域名完全一致的名称。 4. 生成自签名证书: 使用以下命令生成一个自签名证书文件(例如,server.crt): ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将使用 CSR 文件和私钥文件来生成一个有效期为 365 天的自签名证书文件。请注意,这种自签名证书只适用于测试或开发环境,因为它没有受信任的根证书机构签名。 5. 配置 NGINX: 将生成的 server.key 和 server.crt 文件复制到你要使用 SSL 的 NGINX 服务器上,并将以下内容添加到 NGINX 的配置文件中: ``` server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # Other SSL configuration options... } ``` 这将配置 NGINX 使用你生成的 SSL 证书来加密 HTTPS 流量。 注意:以上命令中的示例文件名仅供参考。在实际使用时,你应该为文件选择一个具有描述性的名称,并将路径和文件名替换为你实际使用的值。 ### 回答2: 要使用OpenSSL来生成NGINX SSL的自定义证书,可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保计算机上已经安装了OpenSSL,如果没有安装,可以从OpenSSL官方网站下载并安装适合您操作系统的版本。 2. 创建私钥:使用以下命令生成一个私钥文件: `openssl genrsa -out private.key 2048` 这将创建一个2048位的RSA私钥,并将其保存在名为private.key的文件中。 3. 创建证书签名请求(CSR):使用以下命令生成一个CSR文件: `openssl req -new -sha256 -key private.key -out csr.csr` 这将生成一个证书签名请求文件csr.csr。在生成过程中,您需要提供一些关于您的域名和组织的信息。 4. 生成证书:在生成CSR文件后,您可以使用以下命令生成自定义证书: `openssl x509 -req -in csr.csr -signkey private.key -out certificate.crt -days 365` 这将使用私钥和CSR文件来生成一个有效期为365天的证书文件certificate.crt。 5. 配置NGINX:将生成的私钥和证书文件复制到NGINX的SSL配置目录中,并在NGINX配置文件中指定这些文件的路径和名称。 6. 重启NGINX:保存并关闭NGINX配置文件后,使用以下命令重启NGINX服务器以使更改生效: `nginx -s reload` 完成上述步骤后,您将成功生成并安装了自定义的NGINX SSL证书。这将使您的网站能够通过HTTPS进行安全的加密通信。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值