自签CA证书(HTTPS)生成流程

最新推荐文章于 2024-05-04 22:00:14 发布
最新推荐文章于 2024-05-04 22:00:14 发布
阅读量831 收藏 10
点赞数 4
分类专栏: 麒麟 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a123560mh/article/details/135937767
版权

说明

`先看完,按步骤一步步配置;

1、创建一个本地证书签名请求(CSR)(windows服务端)

提示:这里描述项目中遇到的问题:
(参考http://wiki.jikexueyuan.com/project/tomcat/ssl-tls.html)
创建一个本地自签名证书

keytool -genkey -alias server -keyalg RSA -keystore server.keystore

输入密码(123123)/姓名(域名:www.baidu.cn)/单位(baidu)/组织名称(baidu)/城市(beijing)/省(beijing)/国家(CN)/y
完成则生成了server.keystore。

1、如报错:找不到keytool 需进入到JDK,C:\Program Files\Java\jdk1.8.0_51\bin
2、如报错:keytool 错误: java.io.FileNotFoundException: server.keystore (拒绝访问。)输入生成文件的路径:
C:\Program Files\Java\jdk1.8.0_51\bin>keytool -genkey -alias server -keyalg RSA -keystore /e:\aa\server.keystore/

2、然后利用下列代码创建 CSR(windows服务端)

keytool -certreq -keyalg RSA -alias server -file server.csr -keystore

server.keystore
输入密码:123123
完成则生成了server.csr
需要路径则输入:

keytool -certreq -keyalg RSA -alias server -file /e:\aa\server.csr/ -keystore /e:/aa/server.keystore\

3、复制windows,生成的server.csr到Linux。(linux)

创建CA私钥和证书(linux)

openssl genrsa -out server_rootCA.key 2048
openssl req -x509 -new -nodes -key server_rootCA.key -sha256 -days 3650 -out server_rootCA.pem
openssl x509 -outform der -in server_rootCA.pem -out server_rootCA.crt

生成了三个文件server_rootCA……文件。(linux)

4、将生成的server.csr用自建的server_rootCA.pem签名(linux)

新建v3.ext文件,内容如下:

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.baidu.cn

CA签名server.csr

Sudo openssl x509 -req -in server.csr -CA server_rootCA.pem -CAkey server_rootCA.key -CAcreateserial -out server.crt -days 3650 -sha256 -extfile v3.ext

生成了server_rootCA.crt到server.keystore。

5、将生成的server_rootCA.crt到server.keystore 复制到U盘,到Windows。

keytool -import -alias CA -keystore server.keystore -trustcacerts -file server_rootCA.crt

密码:123123

y

将生成的server.crt导到server.keystore

keytool -import -alias server1 -keystore server.keystore -file server.crt

密码:123123

keytool -import -alias server -keystore server.keystore -file server.crt

密码:123123

y

keytool -list -keystore server.keystore

查看有三个则成功;

6、将生成的server_rootCA.crt和server.crt,双击安装到受信任的根证书发布机构

先安装server_rootCA.crt,再安装server.crt。(Windows服务端)

7、客户端(Linux),浏览器配置。

将server_rootCA.pem添加到客户端的nss中

Windows 列出所有证书:
keytool -list -keystore server.keystore

Linux列出所有证书:
certutil -d sql:$HOME/.pki/nssdb -L

添加证书:
certutil -d sql:$HOME/.pki/nssdb -A -t “P,” -n 证书别名 -i 证书路径

注:windows添加server.crt到 浏览器即可,Linux添加erver_rootCA.pem到浏览器即可;

麒麟的Linux。不能导证书,需要另外升级麒麟的包。

Tomcat,server.xml需加配置:

<Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"  
			maxThreads="150" scheme="https" secure="true"  
			clientAuth="false" keystoreFile="d:/server.keystore"  
			keystorePass="123123" sslProtocol="TLS" />
a123560mh
关注
  • 4
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
HTTPS-生成CA证书
fanfanfan的博客
09-19 527
文章目录SSL/TLS加密算法对称加密非对称加密摘要算法数字签名证书生成以及自签证书证书组成服务器端证书生成下载生成私钥生成CSR自建CANginx配置图形化工具证书生成 SSL/TLS TLS(Transport Layer Security) 是 SSL(Secure Socket Layer) 的后续版本 加密算法 对称加密 如AES、DES、3DES等,密钥只有一个为私钥 非对称加密 密钥分为公钥和私钥: 明文通过公钥加密后得到密文,该密文可以通过私钥解密后得到明文; 明文通过私钥加密后得到密文,
https改造-自签CA证书相关证书创建
最新发布
杨杨杨~~的博客
07-22 1860
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
OpenSSL 生成自签证书
HD243608836的博客
04-18 909
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签证书 的天数完成:cmd在哪里运行的,生成证书会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
openssl创建CA证书教程
justlpf的专栏
09-21 3878
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
自建CA生成自签名SSL证书
AlbertS Home of Technology
11-30 6209
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 468
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
记录一下CA自签证书如何生成(linux环境下一般为部署到nginx)
weixin_50936463的博客
10-07 1193
1.生成你想用的服务端的证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)1.生成你想用的证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)openssl x509 -req -in 名字.csr -signkey 名字.key -out 名字.crt。2. 生成完全加密的密钥文件pem。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
总结来说,OpenSSL 提供了生成和管理SSL证书的全套工具,通过创建CA证书、服务器证书和客户端证书,我们可以实现SSL单向认证和双向认证,从而确保网络通信的安全。理解并熟练运用这些命令,对于任何需要处理加密通信...
使用OpenSSL生成/签发证书的原理、流程与示例
热门推荐
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl自签CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1595
openssl自签CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
CA证书制作工具
11-14
非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。
CA证书生成工具OpenSSL
07-13
提供了建立在普通的通讯层基础上的加密传输层;这些功能为许多网络应用和服务程序所广泛使用。为应用软件提供证书是 OpenSSL 最为常用的功能之一。
个人数字ca证书制作步骤
03-30
ca证书制作步骤ca证书制作步骤ca证书制作步骤
CA证书创建工具
10-16
CA证书创建工具 XCA-0.5.1.rar
https证书生成工具(openssl和jre(自带keytool)) for windows.rar
05-28
HTTPS证书生成过程中,openssl主要用来生成私钥和CSR(证书签名请求)文件。 - **生成私钥**:使用`openssl genpkey`命令可以生成RSA或ECDSA等类型的私钥,如`openssl genpkey -algorithm RSA -out private.key`...
https自签名ssl证书生成流程
DavidLiu的博客
05-04 1941
https自签证书生成,适用于电脑和安卓手机
自签CA证书
MeteoriteMan的博客
05-05 1178
iOS有一个访问地址就能下载的服务:(plist长啥样可以看看这里:企业包plist) itms-services://?action=download-manifest&url="plist文件的地址" 这个服务的先决条件就是能够使用HTTPS访问的服务器.Mac下搭建HTTPS访问的apache服务器文章中搭建的虽然也是HTTPS服务器,但是直接使用会是下面的情况. 1.创建私钥 ...
生成CA证书
snk_xiaoqiang的博客
06-05 957
一、生成私钥(必须要输入PAM密码,此处输入 password)[root@localhost /]# openssl genrsa -des3 -out server_decrypt.key 2048Generating RSA private key, 2048 bit long modulus.+++.........+++e is 65537 (0x10001)Enter pass phr...
java编程方式生成CA证书
05-31
生成CA证书的一种常见方式是使用Java的Keytool工具。以下是一个简单的示例: 1. 首先,创建一个密钥库并生成一个RSA密钥对: ``` keytool -genkeypair -alias myca -keyalg RSA -keysize 2048 -keystore mykeystore.jks -validity 3650 ``` 这将生成一个名为mykeystore.jks的密钥库,并为其生成一个名为myca的别名,使用RSA算法生成一个2048位的密钥对,并设置其有效期为3650天。 2. 然后,使用以下命令导出公钥证书: ``` keytool -exportcert -alias myca -keystore mykeystore.jks -file mycacert.crt ``` 这将从mykeystore.jks密钥库中导出名为myca的别名的证书,并将其保存到mycacert.crt文件中。 3. 最后,使用以下命令将证书导入到受信任的证书颁发机构(CA)列表中: ``` keytool -importcert -alias myca -file mycacert.crt -keystore cacerts.jks ``` 这将将mycacert.crt文件中的证书导入到Java安装中的默认CA证书cacerts.jks中,并使用myca别名标识它。 请注意,以上示例中使用的命令可能需要根据您的具体情况进行调整。此外,生成真实的CA证书需要更复杂的流程和步骤,您需要深入了解相关知识才能完成。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

a123560mh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值