Ubuntu18.04 使用 openssl制作自签名证书

执行“openssl verison”,判断系统是否已安装openssl,若没有安装,请使用apt安装openssl。

一、图解自签名过程

在这里插入图片描述

二、关于 CRT PEM KEY CST等后缀的说明

以下引用出处:那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等)

SSL SSL - Secure Sockets
Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.More:[维基百科]

OpenSSL -
简单地说,OpenSSL是SSL的一个实现,SSL只是一种规范.理论上来说,SSL这种规范是安全的,目前的技术水平很难破解,但SSL的实现就可能有些漏洞,如著名的"心脏出血".OpenSSL还提供了一大堆强大的工具软件,强大到90%我们都用不到.

证书标准 X.509 - 这是一种证书标准,主要定义了证书中应该包含哪些内容.其详情可以参考RFC5280,SSL使用的就是这种证书标准.

编码格式 同样的X.509证书,可能有不同的编码格式,目前有以下两种编码格式.

PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头,
"-----END…"结尾,内容是BASE64编码. 查看PEM格式证书的信息:openssl x509 -in
certificate.pem -text -noout Apache和*NIX服务器偏向于使用这种编码格式.

DER - Distinguished Encoding Rules,打开看是二进制格式,不可读. 查看DER格式证书的信息:openssl
x509 -in certificate.der -inform der -text -noout
Java和Windows服务器偏向于使用这种编码格式.

相关的文件扩展名
这是比较误导人的地方,虽然我们已经知道有PEM和DER这两种编码格式,但文件扩展名并不一定就叫"PEM"或者"DER",常见的扩展名除了PEM和DER还有以下这些,它们除了编码格式可能不同之外,内容也有差别,但大多数都能相互转换编码格式.

CRT -
CRT应该是certificate的三个字母,其实还是证书的意思,常见于*NIX系统,有可能是PEM编码,也有可能是DER编码,大多数应该是PEM编码,相信你已经知道怎么辨别.

CER -
还是certificate,还是证书,常见于Windows系统,同样的,可能是PEM编码,也可能是DER编码,大多数应该是DER编码.

KEY - 通常用来存放一个公钥或者私钥,并非X.509证书,编码同样的,可能是PEM,也可能是DER. 查看KEY的办法:openssl
rsa -in mykey.key -text -noout 如果是DER格式的话,同理应该这样了:openssl rsa -in
mykey.key -text -noout -inform der

CSR - Certificate Signing
Request,即证书签名请求,这个并不是证书,而是向权威证书颁发机构获得签名证书的申请,其核心内容是一个公钥(当然还附带了一些别的信息),在生成这个申请的时候,同时也会生成一个私钥,私钥要自己保管好.做过iOS
APP的朋友都应该知道是怎么向苹果申请开发者证书的吧. 查看的办法:openssl req -noout -text -in my.csr
(如果是DER格式的话照旧加上-inform der,这里不写了)

PFX/P12 - predecessor of
PKCS#12,对*nix服务器来说,一般CRT和KEY是分开存放在不同文件中的,但Windows的IIS则将它们存在一个PFX文件中,(因此这个文件包含了证书及私钥)这样会不会不安全?应该不会,PFX通常会有一个"提取密码",你想把里面的东西读取出来的话,它就要求你提供提取密码,PFX使用的时DER编码,如何把PFX转换为PEM编码?
openssl pkcs12 -in for-iis.pfx -out for-iis.pem -nodes 这个时候会提示你输入提取代码.
for-iis.pem就是可读的文本. 生成pfx的命令类似这样:openssl pkcs12 -export -in
certificate.crt -inkey privateKey.key -out certificate.pfx -certfile
CACert.crt

其中CACert.crt是CA(权威证书颁发机构)的根证书,有的话也通过-certfile参数一起带进去.这么看来,PFX其实是个证书密钥库.

JKS - 即Java Key
Storage,这是Java的专利,跟OpenSSL关系不大,利用Java的一个叫"keytool"的工具,可以将PFX转为JKS,当然了,keytool也能直接生成JKS,不过在此就不多表了.

证书编码的转换 PEM转为DER openssl x509 -in cert.crt -outform der -out cert.der

DER转为PEM openssl x509 -in cert.crt -inform der -outform pem -out
cert.pem

(提示:要转换KEY文件也类似,只不过把x509换成rsa,要转CSR的话,把x509换成req…)

获得证书 向权威证书颁发机构申请证书

用这命令生成一个csr: openssl req -newkey rsa:2048 -new -nodes -keyout my.key
-out my.csr 把csr交给权威证书颁发机构,权威证书颁发机构对此进行签名,完成.保留好csr,当权威证书颁发机构颁发的证书过期的时候,你还可以用同样的csr来申请新的证书,key保持不变.

或者生成自签名的证书 openssl req -newkey rsa:2048 -new -nodes -x509 -days 3650
-keyout key.pem -out cert.pem 在生成证书的过程中会要你填一堆的东西,其实真正要填的只有Common Name,通常填写你服务器的域名,如"yourcompany.com",或者你服务器的IP地址,其它都可以留空的.

三、创建Root CA

1.创建Root CA Key(根密钥)

注意:这是用于签署证书请求的密钥,持有此证书的任何人都可以代表您签署证书。因此,请将其放在安全的地方!

openssl genrsa -des3 -out rootCA.key 4096

如果使用不受密码保护的密钥,请删除该-des3选项

如果不小心使用了“-des3”,也可以通过下面的命令导出不受密码保护的密钥

openssl rsa -in rootCA.key -out rootCA.nopass.key
2.创建自签名根证书
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

根证书需要在所有必须信任我们的计算机中分发。

四、创建自签名证书

对于需要来自我们CA的受信任证书的每个服务器/设备,都需要遵循此过程。

1.创建证书密钥
openssl genrsa -out mydomain.com.key 2048
2.创建签名申请 (csr)

方法一(交互式):

openssl req -new -key mydomain.com.key -out mydomain.com.csr

mydomain.com代表需要配置证书的域名。
方法二(非交互式):

openssl req -new -sha256 \
    -key mydomain.com.key \
    -subj "/C=XX/ST=XXXX/L=XXX/O=XXX/OU=your Ou/CN=mydomain.com" \
    -reqexts SAN \
    -config <(cat /etc/ssl/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:mydomain.com,DNS:www.mydomain.com")) \
    -out mydomain.com.csr
字段字段含义示例
/C=CountryCN
/ST=State or ProvinceGuangdong
/L=Location or CityGuangzhou
/O=Organizationxdevops
/OU=Organization Unitxdevops
/CN=Common Namewww.mydomain.com
3.验证csr的内容(可跳过)
openssl req -in mydomain.com.csr -noout -text
4.通过根证书、根密钥及证书签名申请生成自签名证书
openssl x509 -req -in mydomain.com.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out mydomain.com.crt -days 500 -sha256
5.验证自签名证书文件(可跳过)
openssl x509 -in mydomain.com.crt -text -noout

至此自签名证书生成完成,最终需要:mydomain.com.key 和 mydomain.com.crt

五、安装自建根证书

sudo cp /path/to/rootCA.crt /usr/local/share/ca-certificates
sudo update-ca-certificates

update-ca-certificates命令将PEM格式的根证书内容附加到/etc/ssl/certs/ca-certificates.crt ,而/etc/ssl/certs/ca-certificates.crt 包含了系统自带的各种可信根证书。

附:
删除证书:

sudo rm -f /usr/local/share/ca-certificates/证书名称.crt
sudo update-ca-certificates

附1:证书指纹计算

md5:openssl x509 -fingerprint -md5 -in certfile.crt
sha1:openssl x509 -fingerprint -sha1 -in certfile.crt
sha256:openssl x509 -fingerprint -sha256 -in certfile.crt
全部:openssl x509 -text -in certfile.crt

附2:GoGetSSL

GoGetSSL网址:https://www.gogetssl.com/

GoGetSSL可以申请免费的GoGetSSL® Unlimited Trial类型的SSL证书,有效期三个月,到期后,可以申请续期。
在申请证书时,可通过GoGetSSL提供在CSR在线工具,生成私钥和签名申请文件。具体操作请参见官网。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值