在linux下openssl生成证书和自签证书

最新推荐文章于 2022-08-02 09:00:55 发布
最新推荐文章于 2022-08-02 09:00:55 发布
阅读量1.7k 收藏 1
点赞数 1

第一步 了解配置文件

1.1.1 linuxOpenSSL下的CA机制的配置

OpenSSL下的CA机制配置主要依靠根目录下的openssl.cnf文件。他规定了CA生成,签发和吊销证书的主要规则。并且opensslca指令必须搭配正确的openssl.cnf文件配置才能够正确运行(ca命令并不一定需要完全依赖于openssl.cnf文件中的配置才能正常运行,其实在ca命令中,存在另外一种机制,可以在命令行中指定相应的配置信息,但是这种方法使用起来太过繁琐,不推荐使用)。所以,我们首先必须给OPENSSL CA指定一个正确的配置文件。以下列出文件中几处比较重要的字段信息加以说明。

[ ca ]

default_ca       = CA_default  

这一部分十分简单,只包含了一个键值default_ca,他的值是一个保存了CA默认配置的段的名字,这里是CA_default。这意味着OpenSSL在生成证书时将要到CA_default字段来寻找相应的配置信息。

openssl命令允许在一个配置文件里面,存在有多个CA的配置。

[ CA_default ]

这个段里包含了CA的配置信息,其中主要包括了指定CA的根目录结构,并且告诉openssl去那里去能够找到他签发证书时需要的文件,和将要生成的文件的存放位置。

[ CA_default ]

dir          = /etc/ssl/demoCA # 指定了CA的根目录

certs        = $dir/certs            # 已经签发的证书的存储目录

crl_dir      = $dir/crl            # 存储证书吊销列表的目录

database     = $dir/index.txt      # 数据库的索引文件,用来存放签发证书的信息。

#unique_subject  = no               #设置为’no’表示允许同时创建多个相同主题的证书。

new_certs_dir = $dir/newcerts        # 设置存放新签发的证书的默认位置

Certificate   = $dir/cacert.pem # 指定CA证书

serial        = $dir/serial          # 指定存放当前序列号的文件

crl           = $dir/crl.pem         # 当前的CRL

private_key   = $dir/private/cakey.pem # CA的私钥

RANDFILE      = $dir/private/.rand   #指明一个用来读写时候产生random key的seed文件。

当我们需要在命令行中使用req命令生成证书请求文件,我们必须为req命令提供必要的信息,在命令行中,提供了与其命名相同的段,来配置其必要的信息。

[ req_distinguished_name ]

req_distinguished_name这个扩展区域的键值是在我们使用req命令生成证书请求文件时希望被填入的信息。

第二步

说说本人的操作环境:无盘工作站(有权限问题使用起来不太方便),操作目录是openssl/bin(没办法改不了环境变量,如果你可以改的话,就不用在这个目录下工作了),为了方便本人把apps下的openssl.cnf也复制到了这个目录下来。文件名都是以本人使用的来说了:

1.首先要生成服务器端的私钥(key文件):
openssl genrsa -des3 -out server.key 1024
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.

3.对客户端也作同样的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf

4.CSR文件必须有CA的签名才可形成证书.可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢.
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

5.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名:
Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

现在我们所需的全部文件便生成了.

另:
client使用的文件有:ca.crt,client.crt,client.key
server使用的文件有:ca.crt,server.crt,server.key
.crt文件和.key可以合到一个文件里面,本人把2个文件合成了一个.pem文件(直接拷贝过去就行了)

第三步:可能出现的错误

补充:在签发证书的过程中容易出现的两个问题
 [root@test1 ~]# openssl ca -in dovecot.csr -out dovecot.cst
 Using configuration from /etc/pki/tls/openssl.cnf
 Enter pass phrase for /etc/pki/CA/private/my-ca.key:
 unable to load number from /etc/pki/CA/serial
 error while loading serial number
 3078239980:error:0D066096:asn1 encoding routines:a2i_ASN1_INTEGER:short line:f_int.c:215:
 提示error while loading serial number,一般是因为serial文件中没有赋初值
 解决办法
 [root@test1 ~]#cd /etc/pki/CA
 [root@test1 CA]# echo "00" >serial
 [root@test1 CA]# cat serial
 00
 
还有一个问题在CA签名时,最后出现failed to update database错误
 [root@test1 ~]#openssl ca -in dovecot.csr -out dovecot.crt
 Using configuration from /etc/pki/tls/openssl.cnf
 Enter pass phrase for /etc/pki/CA/private/my-ca.key:
 Check that the request matches the signature
 Signature ok
 Certificate Details:
 Serial Number: 2 (0x2)
 Validity
 Not Before: Jan 23 02:23:39 2013 GMT
 Not After : Jan 23 02:23:39 2014 GMT
 Subject:
 countryName = CN
 stateOrProvinceName = Hebei
 organizationName = Tianli Company
 commonName = test2
 X509v3 extensions:
 X509v3 Basic Constraints:
CA:FALSE
 Netscape Comment:
OpenSSL Generated Certificate
 X509v3 Subject Key Identifier:
96:86:28:B7:ED:2E:96:79:32:88:7E:C3:23:37:02:BC:43:1C:76:87
 X509v3 Authority Key Identifier:
keyid:4C:45:25:5F:60:7F:F8:6E:6F:B4:53:C4:FB:BD:A3:C6:82:AE:2A:62
 
Certificate is to be certified until Jan 23 02:23:39 2014 GMT (365 days)
 Sign the certificate? [y/n]:y
 
1 out of 1 certificate requests certified, commit? [y/n]y
 Write out database with 1 new entries
 Data Base Updated
 
Certificate is to be certified until Jan 23 02:17:38 2014 GMT (365 days)
 Sign the certificate? [y/n]:y
 failed to update database
 TXT_DB error number 2

本篇文章来源于 Linux公社网站(www.linuxidc.com)  原文链接:http://www.linuxidc.com/Linux/2013-01/78484p3.htm

 

ZhangJian_QianRuShi
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何利用linux自带的openssl工具生成自签名证书
xlfc12138的博客
06-10 850
需求:通过自签名的CA证书,模拟CA机构签发服务端证书和客户端证书,为设备提供双向认证功能。 通过证书签发过程,更好的理解证书认证的相关知识
Linux下如何根据域名自签发OpenSSL证书与常用证书转换
踏歌行的专栏
10-11 1749
Linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。
openssl生成证书,并解决浏览器不信任问题
develop
02-28 4862
1. 前言 关于SSL的理论知识就不细说了,也了解得不是很深入。 这里主要是记录一下 SSL 证书生成以及证书配置后发现chrome浏览器访问网站会提示网站不安全的问题。 大致流程如下,如果有两个域名,应该只需要生成自签名证书就可以了。 但是我只有一个域名,所以只能用其他的方式解决。openssl 的安装过程比较简单,不详细记录 2. 生成证书 证书生成过程主要参考了:https://blog.51cto.com/1inux/1638154 第一步 生成私钥文件 命令:sudo op
openssl配置示例及DNS智能解析实现
qq_22193519的博客
10-18 3821
搭建apache或者nginx并使用自签证实现https访问,自签名证书的域名自拟  使用OpenSSL创建私有CA的步骤: 1、生成私钥2、生成签证     (1) 私钥用于签发证书时,向证书添加数字签名使用;     (2) 证书:每个通信方都导入此证书至“受信任的证书颁发机构”      涉及的配置文件:/etc/pki/tls/openssl.cnf 工作目录:CA Hostnam...
使用OpenSSL自建CA及颁发证书、吊销证书
miouqi的专栏
07-17 5320
一、实验说明       OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。        OpenSSL是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;
生成自签ssl证书
kali_yao的博客
10-18 9692
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
linux生成cer证书_Linux下使用openssl生成证书
weixin_31919471的博客
01-17 1451
利用OpenSSL生成库和命令程序,在生成的命令程序中包括对加/解密算法的测试,openssl程序,ca程序.利用openssl,ca可生成用于C/S模式的证书文件以及CA文件.证书文件的生成步骤:一、服务器端1.生成服务器端的私钥(key文件);openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件(参数des3是加密算法...
linuxopenssl证书签发
何小杰的博客
10-22 2047
linux已经集成了openssl组件,因此博主利用例子讲解如何在linux系统下签发证书,因为个人证书时不受谷歌浏览器认可的,所以自签发证书只能在火狐浏览器下测试使用!
linux系统openssl 实现ssl自签证
12-02
Linux系统,如Ubuntu、CentOS、openEuler等,提供了强大的命令行工具openssl生成这样的自签证。 首先,生成CA根证书是整个过程的基础。CA根证书是用于签署其他证书的可信源头。在Linux环境下,可以通过shell脚...
Linux下用Openssl生成证书[归类].pdf
10-11
Linux环境下,使用OpenSSL生成SSL X.509证书涉及一系列步骤,这些步骤对于软件开发,特别是涉及网络服务安全的项目至关重要。X.509证书是公钥基础设施(PKI)的一部分,用于验证服务器或客户端的身份。以下是一份...
Linux中Nginx添加自签证TLS的方法
09-15
总结来说,本文详细阐述了在Linux的Nginx环境中添加自签名TLS证书的过程,包括证书生成、查看以及配置Nginx使用这些证书。遵循这些步骤,你可以在自己的服务器上快速搭建安全的HTTPS服务。对于生产环境,建议使用...
Linux下用Openssl生成证书
03-12
openssl签发ssl x.509证书 建立根证书: 制做服务器端的证书并用ca签名: 生成crt格式 生成cer格式
Linux环境cer证书生成和转码方式参考.doc
05-16
本文主要探讨如何在Linux生成CER证书以及进行必要的转码操作。 首先,CER证书可以是自签名的,也可以由权威的第三方机构如CFCA(中国金融认证中心)签发。自签名证书适用于内部测试或开发环境,而第三方签发的...
Linux—搭建Apache(httpd)服务
萌兔兔MMQ!!
08-02 8338
http是Apache超文本传输协议服务器的主程序。它是一个独立的后台进程,能够处理请求的子进程和线程。http常用用的两个版本是httpd-2.2和httpd-2.4CentOS6系列的默认httpd版本是httpd-2.2版本的rpm包CentOS7系列的默认httpd版本是httpd-2.4版本的rpm包。...
openssl对SSL证书及密钥操作说明
adrninistrat0r的博客
03-01 4814
1. 使用OpenSSL自建CA OpenSSL是一个免费的、开源的加密库,用于处理数字证书,提供了一些命令行工具。部分工具可以提供证书颁发机构的相关功能。 使用OpenSSL可以自建测试CA,OpenSSL的使用文档为 https://www.openssl.org/docs/manmaster/man1/ 。 使用OpenSSL自建CA可参考 https://www.madboa.com/ge...
openssl error while loading serial number
weixin_30507481的博客
11-07 1811
openssl error while loading serial number unable to load number from D:/Program Files/OpenSSL-Win64/bin/demoCA/serialerror while loading serial number9552:error:0D066096:asn...
rhel6.3下使用openssl生成CA证书并颁发证书实例解
shareinfo2018
09-17 3148
•     一、配置OPENSSL [root@test1 /]#rpm -qa|grep openssl openssl-1.0.0-20.el6_2.5.i686 [root@test1 /]# cd/etc/pki/tls [root@test1 tls]#ls cert.pem  certs misc  openssl.cnf  private [roo
openssl生成服务器证书时报unable to load number from ./demoCA/serial错误
茕夜
03-02 2592
Using configuration from /usr/lib/ssl/openssl.cnf unable to load number from ./demoCA/serial error while loading serial number 140709903705408:error:0D066091:asn1 encoding routines:a2i_ASN1_INTEGER:odd number of chars:../crypto/asn1/f_int.c:103:
Openssl 报错: unable to find 'distinguished_name' in config
风雨三千的博客
03-24 5023
最近部署openssl生成证书,结果发现报错如图: 我执行的命令是: openssl req -new -x509 -sha256 -key privkey_sm2.key -out cer.crt -days 10000 -subj '/C=CN/ST=Beijing/L=Haidian/O=Datang/OU=SDT/CN=Shixun/emailAddress=dongzy08@q...
linux ssl添加证书,linux上使用openssl生成ssl证书
最新发布
05-24
Linux 上添加 SSL 证书可以使用 OpenSSL 工具来生成和管理证书。 以下是使用 OpenSSL 工具生成自签名证书的步骤: 1. 安装 OpenSSL 工具,如果已经安装可以跳过这个步骤。 在 Ubuntu 上使用以下命令安装 OpenSSL 工具: ``` sudo apt-get update sudo apt-get install openssl ``` 2. 生成私钥文件 使用以下命令生成私钥文件: ``` openssl genrsa -out key.pem 2048 ``` 这将生成一个 2048 位的 RSA 私钥文件 key.pem。 3. 生成证书签名请求 使用以下命令生成证书签名请求: ``` openssl req -new -key key.pem -out csr.pem ``` 这将生成一个证书签名请求文件 csr.pem。 4. 生成自签名证书 使用以下命令生成自签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out cert.pem ``` 这将生成一个有效期为 365 天的自签名证书文件 cert.pem。 5. 将证书文件安装到系统中 将生成证书文件 cert.pem 安装到系统中,具体方式取决于你的系统和应用程序。 在 Nginx 中,可以使用以下命令将证书文件配置到 Nginx: ``` ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; ``` 这样,你就可以使用 OpenSSL 工具在 Linux生成自签名证书,并将其添加到应用程序中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值