使用openssl生成SAN证书

已于 2022-08-12 21:24:39 修改
阅读量2.4k 收藏 5
点赞数 1
文章标签: 服务器 https ssl
于 2022-08-12 21:18:27 首次发布
仅供学习!
本文链接:https://blog.csdn.net/a145127/article/details/126311442
版权

前言

由于Golang 1.17以上强制使用SAN证书,故,需要在此进行生成。

如果,系统中安装了git、mingw64工具的话,就无需再安装openssl了,否则需要单独安装openssl。

win10安装与下载

其他系统请参考官方

1.创建一个“cert”目录用于,保存证书和配置文件。

2.创建配置文件(openssl.cnf),并保存到“cert”目录下,内容如下:

[ CA_default ]
copy_extensions = copy

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
# 国家
C = CN
# 省份
ST = Shenzhen
# 城市
L = Shenzhen
# 组织
O = Arvin
# 部门
OU = Arvin
# 域名
CN = test.example.com

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
# 解析域名
DNS.1 = *.test.example.com
# 可配置多个域名,如下
DNS.2 = *.example.com

3.生成根证书(rootCa) 

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成私钥,密码可以输入123456
$ openssl genrsa -des3 -out ca.key 2048

# 使用私钥来签名证书
$ openssl req -new -key ca.key -out ca.csr

# 使用私钥+证书来生成公钥
$ openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

4.在“cert”目录下,分别创建“server”、“client”目录,它们用来保存服务器密钥与客户端密钥。

5.生成服务器密钥

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成服务器私钥,密码输入123456
$ openssl genpkey -algorithm RSA -out server/server.key

# 使用私钥来签名证书
$ openssl req -new -nodes -key server/server.key -out server/server.csr -config openssl.cnf -extensions 'v3_req'

# 生成SAN证书
$ openssl x509 -req -in server/server.csr -out server/server.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions 'v3_req'

 6.生成客户端密钥

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成客户端私钥,密码输入123456
$ openssl genpkey -algorithm RSA -out client/client.key

# 使用私钥来签名证书
$ openssl req -new -nodes -key client/client.key -out client/client.csr -config openssl.cnf -extensions 'v3_req'

# 生成SAN证书
$ openssl x509 -req -in client/client.csr -out client/client.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions 'v3_req'

最后给出一个效果图:

‭‭‭‭‭‭‭‭‭huiwen
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
OpenSSL创建带SAN扩展的证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9057
为什么80%的码农都做不了架构师?>>> ...
openssl生成私钥、根证书,签发下级证书时修改SAN
最新发布
Richelieu_的博客
04-18 248
【代码】【无标题】
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1535
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1319
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
openssl命令生成证书使用证书签名工作证书
chali1314的博客
09-08 4149
建立根证书流程如下: //生成私钥,产生CARoot.key文件,需要输入私钥保护口令 openssl genrsa -des3 -out CARoot.key 2048 //生成证书请求,需要输入CARoot.key私钥保护口令。根据提示输入:国家、省份、组织名、邮箱、等信息。最后生成CARoot.csr证书请求文件。 openssl req -new -key CARoot.key -out CARoot.csr -config openssl_root_ca.cnf //签发证书,最后生成自签..
使用OpenSSL生成Kubernetes证书的介绍
09-30
OpenSSL是一个强大的安全套接字层密码库,常用来生成证书和密钥,以确保Kubernetes组件之间的安全交互。本篇文章将深入讲解如何使用OpenSSL生成Kubernetes所需的证书。 首先,我们来看Kubernetes支持的几种认证...
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
OpenSSL生成ssl证书
01-11
3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...
OpenSSL生成自签名证书
啄慕鸟
08-02 440
1.密钥对 openssl genrsa -des3 -out gisportal.key 2048   2.签名请求 openssl req -new -key gisportal.key -out gisportal.csr -subj "/C=CN/ST=GuangXi/L=NanNing/O=Esri/OU=IT/CN=gisportal.nns.gx"   3.签名 op
ssl双向认证 -- openssl生成证书
weixin_42497363的博客
10-27 1138
ssl双向认证--openssl生成证书
openSSL 生成证书 (三级_证书链) linux
AAugust的博客
10-22 4095
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书并导出根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 641
使用openssl生成SAN证书 多个注意点
生成自签名SAN/UCC证书
qq_43073907的博客
08-19 365
生成自签名SAN/UCC证书
SAN简介
庄无名的世界
06-16 1872
概述 在当今这一信息爆炸的时代,IT管理员疲于应付迅猛增长的各种数字信息-电子邮件、多媒体应用软件以及其它商业技术,从而对更多存储容量的需求越来越迫切。就当今复杂的IT环境而言,仅仅按照传统方法增加存储设备绝非长久之计,并且,在以服务器为中心的存储系统中,多达50%的现有容量尚未被使用。随着企业IT预算的不断缩减,再也不能接受这种资源的浪费了。 简介 传统存储技术的局限 多年以来,企业几乎完全依靠
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1385
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CA签CSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
使用Openssl生成证书CA以及签发子证书
technologyleader的专栏
12-17 4219
openssl是当前非常流行的SSL密码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成自签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
centos的openssl 配置SAN 证书
07-14
在CentOS上使用OpenSSL生成带有SAN证书,您可以按照以下步骤进行操作: 1. 确保您的系统已经安装了OpenSSL。如果没有安装,请使用以下命令安装: ``` sudo yum install openssl ``` 2. 创建一个名为`openssl.cnf`的配置文件。可以使用以下命令创建并编辑该文件: ``` sudo vi openssl.cnf ``` 3. 在`openssl.cnf`文件中添加以下内容来定义SAN扩展: ``` [req] req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com ``` 将`example.com`和`www.example.com`替换为您要在证书中包含的实际域名。 4. 生成证书的私钥和证书签发请求(CSR)。执行以下命令,并将`example.key`和`example.csr`替换为您想要的文件名: ``` openssl req -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config openssl.cnf ``` 在生成CSR时,根据提示填写相应的信息,如国家、组织、通用名称等。 5. 使用CSR向证书颁发机构(CA)申请证书签名,或者如果您是自签名证书,则可以使用以下命令生成自签名证书: ``` openssl x509 -req -in example.csr -signkey example.key -out example.crt -extensions v3_req -extfile openssl.cnf ``` 这将使用CSR和私钥生成带有SAN证书`example.crt`。 现在,您已经成功生成了带有SAN证书。请注意,在实际部署中,请使用受信任的证书颁发机构(CA)颁发的证书以获得最佳的安全性和信任度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值