Ubuntu18.04 使用 openssl制作自签名证书

最新推荐文章于 2024-05-06 01:00:00 发布
最新推荐文章于 2024-05-06 01:00:00 发布
阅读量1.5k 收藏 8
点赞数
分类专栏: Ubuntu
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/asen_zh/article/details/117029761
版权

执行“openssl verison”,判断系统是否已安装openssl,若没有安装,请使用apt安装openssl。

一、图解自签名过程

在这里插入图片描述

二、关于 CRT PEM KEY CST等后缀的说明

以下引用出处:那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)

SSL SSL - Secure Sockets
Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.More:[维基百科]

OpenSSL -
简单地说,OpenSSL是SSL的一个实现,SSL只是一种规范.理论上来说,SSL这种规范是安全的,目前的技术水平很难破解,但SSL的实现就可能有些漏洞,如著名的"心脏出血".OpenSSL还提供了一大堆强大的工具软件,强大到90%我们都用不到.

证书标准 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

编码格式 同样的X.509证书,可能有不同的编码格式,目前有以下两种编码格式.

PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头,
"-----END…"结尾,内容是BASE64编码. 查看PEM格式证书的信息:openssl x509 -in
certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.

DER - Distinguished Encoding Rules,打开看是二进制格式,不可读. 查看DER格式证书的信息:openssl
x509 -in certificate.der -inform der -text -noout
Java和Windows服务器偏向于使用这种编码格式.

相关的文件扩展名
这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

CRT -
CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码,相信你已经知道怎么辨别.

CER -
还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER. 查看KEY的办法:openssl
rsa -in mykey.key -text -noout 如果是DER格式的话,同理应该这样了:openssl rsa -in
mykey.key -text -noout -inform der

CSR - Certificate Signing
Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS
APP的朋友都应该知道是怎么向苹果申请开发者证书的吧. 查看的办法:openssl req -noout -text -in my.csr
(如果是DER格式的话照旧加上-inform der,这里不写了)

PFX/P12 - predecessor of
PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes 这个时候会提示你输入提取代码.
for-iis.pem就是可读的文本. 生成pfx的命令类似这样:openssl pkcs12 -export -in
certificate.crt -inkey privateKey.key -out certificate.pfx -certfile
CACert.crt

其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

JKS - 即Java Key
Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

证书编码的转换 PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der

DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out
cert.pem

(提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req…)

获得证书 向权威证书颁发机构申请证书

用这命令生成一个csr: openssl req -newkey rsa:2048 -new -nodes -keyout my.key
-out my.csr 把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变.

或者生成自签名的证书 openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650
-keyout key.pem -out cert.pem 在生成证书的过程中会要你填一堆的东西,其实真正要填的只有Common Name,通常填写你服务器的域名,如"yourcompany.com",或者你服务器的IP地址,其它都可以留空的.

三、创建Root CA

1.创建Root CA Key(根密钥)

注意:这是用于签署证书请求的密钥,持有此证书的任何人都可以代表您签署证书。因此,请将其放在安全的地方!

openssl genrsa -des3 -out rootCA.key 4096

如果使用不受密码保护的密钥,请删除该-des3选项

如果不小心使用了“-des3”,也可以通过下面的命令导出不受密码保护的密钥

openssl rsa -in rootCA.key -out rootCA.nopass.key
2.创建自签名根证书
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

根证书需要在所有必须信任我们的计算机中分发。

四、创建自签名证书

对于需要来自我们CA的受信任证书的每个服务器/设备,都需要遵循此过程。

1.创建证书密钥
openssl genrsa -out mydomain.com.key 2048
2.创建签名申请 (csr)

方法一(交互式):

openssl req -new -key mydomain.com.key -out mydomain.com.csr

mydomain.com代表需要配置证书的域名。
方法二(非交互式):

openssl req -new -sha256 \
    -key mydomain.com.key \
    -subj "/C=XX/ST=XXXX/L=XXX/O=XXX/OU=your Ou/CN=mydomain.com" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:mydomain.com,DNS:www.mydomain.com")) \
    -out mydomain.com.csr
字段字段含义示例
/C=CountryCN
/ST=State or ProvinceGuangdong
/L=Location or CityGuangzhou
/O=Organizationxdevops
/OU=Organization Unitxdevops
/CN=Common Namewww.mydomain.com
3.验证csr的内容(可跳过)
openssl req -in mydomain.com.csr -noout -text
4.通过根证书、根密钥及证书签名申请生成自签名证书
openssl x509 -req -in mydomain.com.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out mydomain.com.crt -days 500 -sha256
5.验证自签名证书文件(可跳过)
openssl x509 -in mydomain.com.crt -text -noout

至此自签名证书生成完成,最终需要:mydomain.com.key 和 mydomain.com.crt

五、安装自建根证书

sudo cp /path/to/rootCA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates

update-ca-certificates命令将PEM格式的根证书内容附加到/etc/ssl/certs/ca-certificates.crt ,而/etc/ssl/certs/ca-certificates.crt 包含了系统自带的各种可信根证书。

附:
删除证书:

sudo rm -f /usr/local/share/ca-certificates/证书名称.crt
sudo update-ca-certificates

附1:证书指纹计算

md5:openssl x509 -fingerprint -md5 -in certfile.crt
sha1:openssl x509 -fingerprint -sha1 -in certfile.crt
sha256:openssl x509 -fingerprint -sha256 -in certfile.crt
全部:openssl x509 -text -in certfile.crt

附2:GoGetSSL

GoGetSSL网址:https://www.gogetssl.com/

GoGetSSL可以申请免费的GoGetSSL® Unlimited Trial类型的SSL证书,有效期三个月,到期后,可以申请续期。
在申请证书时,可通过GoGetSSL提供在CSR在线工具,生成私钥和签名申请文件。具体操作请参见官网。

Arsen_Z
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在Unbuntu上生成OpenSSL证书
youyicc
09-21 489
一、环境准备   本文用的Unbutn桌面版,默认就自带了OpenSSL,所以这里不用下载openssl源码编译安装,直接就可以用,如果电脑上没有OpenSSL,可以参考本专栏中其他相关文章的步骤,这里不再赘述。 二、生成OpenSSL证书   ①生成根证书openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.crt   执行结果如下所示:   详细配置如下所示: # PEM pass phrase: 2
ubuntu创建自签名证书
redwingz的博客
12-02 2482
系统版本: Ubuntu 17.04。首先生成一个RSA私钥: $ $ mkdir private $ $ openssl genrsa -out private/cakey.pem 2048 Generating RSA private key, 2048 bit long modulus ......................................................
如何在 Ubuntu 18.04 上为 Apache 创建自签名 SSL 证书
最新发布
rubys007的博客
05-06 2030
TLS,即传输层安全,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部方拦截。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,您将学习如何为 Ubuntu 18.04 上的 Apache Web 服务器设置自签名 SSL 证书
ubuntu下自我签名数字证书
chen_jianjian的专栏
08-07 4443
引言 本博文使用的 CA CA即数字证书认证机构,英文全称为Certificate Authority,也称为电子商务认证中心、电子商务认证授权机构或证书授权中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。  CSR CSR即证书请求文件,英文全称为Cerificate Signing Request,证书申请者在申
ubuntu 使用openssl制作一个自签名证书
weixin_43632687的博客
12-27 1180
签名证书
Ubuntu使用OpenSSL生成数字证书详解
weixin_34006965的博客
07-18 795
2019独角兽企业重金招聘Python工程师标准>>> ...
ubuntu18.04gcc.zip
10-29
ubuntu18.04 离线安装gcc
Ubuntu 18.04(AGX板)部署ros2_foxy
07-25
原创内容,一步一步教你如何在agx JetPack4.6.2环境编译ros2 foxy,每个步骤都经过反复验证。
openssh-server -Ubuntu18.04远程服务离线安装包
05-07
sudo dpkg -i openssh-client_1%3a7.6p1-4ubuntu0.6_amd64.deb sudo dpkg -i ncurses-term_6.1-1ubuntu1.18.04_all.deb sudo dpkg -i openssh-sftp-server_1%3a7.6p1-4ubuntu0.6_amd64.deb sudo dpkg -i openssh-...
Ubuntu18.04安装和使用Mysql数据库
12-14
1、共8个命令即可完成安装 参考 命令1 下载安装mysql的服务端: sudo apt-get install mysql-server 命令2 切换成root用户后执行下面的命令,否则可能权限不够,想换回普通用户只需ctrl+D sudo su - ...
windows10与Ubuntu18.04双系统安装与使用
03-10
"Windows 10 与 Ubuntu 18.04 双系统安装与使用" 本文将指导您如何在 Windows 10 中安装 Ubuntu 18.04 双系统,详细介绍了安装过程中的每个步骤,以及需要注意的重要事项。 1. Windows 10 环境安装注意事项 在...
ubuntu证书详细生成脚本
11-29
ubuntu证书详细生成脚本,用于使用ESP32模组或芯片的用户测试SSL握手时候需要用到的证书
OpenSSLUbuntu下自签SSL证书
weixin_44558408的博客
07-04 1162
OpenSSL自签证书方法
如何在Ubuntu 16.04中为Apache创建一套自签名SSL证书
zstack_org的博客
04-11 3887
提供:ZStack云计算 内容介绍TLS,全称为传输层安全,及其前身SSL,全称为安全嵌套层,都属于将普通流量打包为受保护加密封装的Web协议。使用这项技术,服务器能够在服务器与客户间安装传输数据,而无需担心消息为外部所截获。其证书系统还能够帮助用户核实其所连接站点的身份。在本教程中,我们将探讨如何在Ubuntu 16.04服务器上为Apache Web服务器设置一份自签名SSL证书。注意:自签名
Ubuntu 下测试自签证书
zhbpd的专栏
05-31 440
1. 创建 catest 目录,复制 openssl.cnf 文件到此目录,然后编辑此文件,修改certificate 和 private_key的名称 mkdir catest cd catest /catest$ cp /etc/ssl/openssl.cnf . /catest$ vim openssl.cnf ... [ CA_default ] certificate = $dir/root/ca.crt private_key = $dir/private/ca.key ..
Cerbot 再 Ubuntu 上,自动生成 Https 证书
weixin_33701617的博客
04-12 221
2019独角兽企业重金招聘Python工程师标准>>> ...
创建私有CA,我就用openSSL
程序那些事
07-21 642
一般情况下我们使用证书都是由第三方权威机构来颁发的,如果我们有一个新的https网站,我们需要申请一个世界范围内都获得认可的证书,这样我们的网站才能被无障碍的访问。如果在某些情况下,我们的网站或者系统并不是公开的,但是也需要使用tls协议的话,那么就需要自己搭建一个CA服务器。这样的CA服务器就叫做privateCA。熟悉证书的朋友可能会说了,为什么不使用签名证书呢?也可以达到安全通信的目的。这是因为自签名证书的作用比较有限,它没有CRL和OCSP的能力,并且使用起来也不是很方便。http。...
如何生成jks证书文件
XXX1238XGH的博客
01-02 7679
需要确保安装了JDK。 在命令行中输入如下命令: keytool.exe -genkeypair -alias filename -keyalg RSA -keypass 501937 -storepass 501937 -keyalg RSA -keysize 2048 -validity 3650 -keystore filename.jks 您的名字与姓氏是什么? [Unknown]: cheng 您的组织单位名称是什么? [Unknown]: wang 您的组织名称是什么? [Unkno..
如何在Ubuntu 18.04上安装Let‘s Encrypt SSL证书
小麦China的博客
06-15 1295
Certbot是一个用户友好的自动客户端,它为你的web服务器获取和部署SSL/TLS证书,它是一个用来从let's Encrypt获取证书,并且在你的服务器上自动启用HTTPS的工具,总之,它充当官方"let's Encrypt客户端"或"let's Encrypt python client.",它利用自动证书管理环境(ACME )自动部署由大多数浏览器信任的免费证书,因此,它适用于支持ACME协议的CA 。 在本文中,我将解释如何在ubuntu 18 04服务器上使用Certbot为Apache和N
ubuntu18.04安装openssl
08-20
要在Ubuntu 18.04上安装OpenSSL,请按照以下步骤进行操作: 1. 打开终端(Ctrl + Alt + T)。 2. 运行以下命令更新软件包列表: ``` sudo apt update ``` 3. 运行以下命令安装OpenSSL: ``` sudo apt install openssl ``` 4. 系统会提示您确认安装,请按Enter键继续。 5. 安装完成后,您可以通过运行以下命令检查OpenSSL的版本: ``` openssl version ``` 这样,您就可以在Ubuntu 18.04上成功安装OpenSSL了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值