国密证书的制作

置顶 已于 2024-02-22 16:53:53 修改
阅读量431 收藏 2
点赞数 3
分类专栏: LINUX 源代码发布 文章标签: openssl 国密 证书制作
于 2024-02-22 16:48:19 首次发布
原创作品 版权所有 不得转载
本文链接:https://blog.csdn.net/bluestn/article/details/136238152
版权

1. 首先创建一个根root的签名证书

make_ca.sh

#-------------------------------
# CA 根证书的创建
#-------------------------------

OPENSSL=tongsuo

# 创建key
$OPENSSL genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 -out ca.key


# 查看key
$OPENSSLpkey -text -in ca.key



# 创建csr
$OPENSSL req -config ca.cnf -new -key ca.key -out ca.csr -sm3 -nodes -subj "/C=AA/ST=BB/O=CC/OU=DD/CN=root ca"


# ca自签名
$OPENSSL ca -selfsign -config ca.cnf -in ca.csr -keyfile ca.key -extensions v3_ca -days 3650 -notext -out ca.crt -md sm3 -batch


# 查看证书
$OPENSSL x509 -text -in ca.crt -noout

2. 创建一个中间CA的签名证书

make_subca.sh


#-------------------------------
# 中间CA 证书的创建
#-------------------------------

OPENSSL=tongsuo

# 创建key
$OPENSSL genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 -out subca.key


# 查看key
$OPENSSL pkey -text -in subca.key



# 创建csr
$OPENSSL req -config ca.cnf -new -key subca.key -out subca.csr -sm3 -nodes -subj "/C=AA/ST=BB/O=CC/OU=DD/CN=sub ca"

# ca自签名
$OPENSSL ca -config ca.cnf -extensions v3_intermediate_ca -days 3650 -in subca.csr -notext -out subca.crt -md sm3 -batch


# 查看证书
$OPENSSL x509 -text -in subca.crt -noout

# 将两个CA证书合并到一起
cat ca.crt subca.crt > chain-ca.crt

3. 签发证书

利用以上的中间ca签发供最终用户使用的证书。
make_server.sh

CN=""

if [ $# -gt 1 ]; then
    while getopts "c:" opt; do
      case $opt in
	c)
	    CN="${OPTARG}"
	  ;;
      esac
    done
fi

if [ x$CN == "x" ]; then  
    CN=www.test.com
fi

echo "Certificate Owner:" ${CN}

certificate_name=${CN//./_}

# 国密双证书的制作

#------------------------------------
# 签名证书的创建
#------------------------------------

# 创建签名key
../tongsuo genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 -out ${certificate_name}_sign.key

# 创建签名csr
../tongsuo req -config subca.cnf -key ${certificate_name}_sign.key -new -out ${certificate_name}_sign.csr -sm3 -nodes -subj "/C=AA/ST=BB/O=CC/OU=DD/CN=${CN} sign"

# 签名证书的签名
../tongsuo ca -config subca.cnf -extensions server_sign_req -days 3650 -in ${certificate_name}_sign.csr -notext -out ${certificate_name}_sign.crt -md sm3 -batch


#------------------------------------
# 加密证书的创建
#------------------------------------

# 创建加密key
../tongsuo genpkey -algorithm ec -pkeyopt ec_paramgen_curve:sm2 -out ${certificate_name}_enc.key

# 创建加密csr
../tongsuo req -config subca.cnf -key ${certificate_name}_enc.key -new -out ${certificate_name}_enc.csr -sm3 -nodes -subj "/C=AA/ST=BB/O=CC/OU=DD/CN=${CN} enc"

# 加密证书的签名
../tongsuo ca -config subca.cnf -extensions server_enc_req -days 3650 -in ${certificate_name}_enc.csr -notext -out ${certificate_name}_enc.crt -md sm3 -batch

4. 需要预先准备的文件

4.1 目录架构

  • ca:用于制作ca证书

    • ca.cnf: ca证书配置文件
    • crl: 证书吊销目录
    • newcerts:
    • db:
    • make_ca.sh (上面已经给出)
    • make_subca.sh (上面已经给出)

  • server:用于制作最终客户使用的证书

    • subca.cnf: 中间ca配置文件
    • make_server.sh (上面已经给出)

4.2 创建ca.cnf文件

需要创建crl,newcerts,db目录,另外,需要设置db/serial文件,serial文件里面填入一个整数值,譬如1000。

[ ca ]
# `man ca`
default_ca = CA_default

[ CA_default ]
# Directory and file locations.
dir               = .
certs             = $dir/certs
crl_dir           = $dir/crl
new_certs_dir     = $dir/newcerts
database          = $dir/db/index
unique_subject    = no
serial            = $dir/db/serial
RANDFILE          = $dir/private/random

# The root key and root certificate.
private_key       = $dir/ca.key
certificate       = $dir/ca.crt

# For certificate revocation lists.
crlnumber         = $dir/crlnumber
crl               = $dir/crl/ca.crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

# SHA-1 is deprecated, so use SHA-2 instead.
default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 365
preserve          = no
policy            = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.
# See the POLICY FORMAT section of the `ca` man page.
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
# Options for the `req` tool (`man req`).
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

# SHA-1 is deprecated, so use SHA-2 instead.
default_md          = sha256

# Extension to add when the -x509 option is used.
x509_extensions     = v3_ca

req_extensions = v3_req

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName                     = optional
stateOrProvinceName             = optional
localityName                    = optional
0.organizationName              = optional
organizationalUnitName          = optional
commonName                      = optional
emailAddress                    = optional

[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost

[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

4.3 创建subca.cnf文件

其中 CA_default中的dir参数要指向

[ ca ]
# `man ca`
default_ca = CA_default

[ CA_default ]
# Directory and file locations.
dir               = ../ca
certs             = $dir/certs
crl_dir           = $dir/crl
new_certs_dir     = $dir/newcerts
database          = $dir/db/index
unique_subject    = no
serial            = $dir/db/serial
RANDFILE          = $dir/private/random

# The root key and root certificate.
private_key       = $dir/subca.key
certificate       = $dir/subca.crt

# For certificate revocation lists.
crlnumber         = $dir/crlnumber
crl               = $dir/crl/ca.crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

# SHA-1 is deprecated, so use SHA-2 instead.
default_md        = sm3

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 365
preserve          = no
policy            = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.
# See the POLICY FORMAT section of the `ca` man page.
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
# Options for the `req` tool (`man req`).
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

# SHA-1 is deprecated, so use SHA-2 instead.
default_md          = sha256

# Extension to add when the -x509 option is used.
x509_extensions     = v3_ca

req_extensions = v3_req

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName                     = optional
stateOrProvinceName             = optional
localityName                    = optional
0.organizationName              = optional
organizationalUnitName          = optional
commonName                      = optional
emailAddress                    = optional

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = localhost

[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

[ server_sign_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature
# Add more items here, for instance:
# subjectAltName = @alt_names

[ server_enc_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = keyAgreement, keyEncipherment, dataEncipherment
# Add more items here, for instance:
# subjectAltName = @alt_names

[ client_sign_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature

[ client_enc_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = keyAgreement, keyEncipherment, dataEncipherment
码农心语
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
国密gmssl编译好的文件,可用来制作国密SM2证书
08-17
国密gmssl编译好的文件,可用来制作国密SM2证书,linux x86_64. 用法见http://download.csdn.net/download/mynetworks/9876604
pfx证书生成 工具
09-28
开发技术使用RSA非对称加密,一键生成pfx证书工具,内附 文档说明。
TASSL-win64.rar
09-10
国密TASSL 已编译好的Windows版,win64版本,最新TASSL 1.4版,可直接windows 10下使用,win10 vs2019 环境下编译
openssl命令制作生成证书和自签名
10-12
openssl命令制作生成证书和自签名
国密SM2算法基于Openssl实现
11-23
基于Openssl算法库实现的SM2算法。实现数字签名和密钥交换,公钥加密没有实现。全部源代码,需要Openssl库支持,VC工程。 KDF使用标准HASH算法,没有使用SM3。 可参考作者的SM3算法实现KDF。 ECC曲线使用SM2算法建议曲线,内含SM2建议曲线测试。 仅算法过程演示,不适用于工程应用,欢迎提供宝贵意见可进一步完善。
国密自签名证书生成
啊渊的专栏
05-02 4725
OpenSSL 1.1.1n 版本已经支持了国密算法。SM2、SM3、SM4所以我们使用openssl生成国密证书的时候需要先查看版本中是否已经支持了国密算法。 openssl升级 下载openssl wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1n.tar.gz 解压 tar -zxvf openssl-1.1.1n.tar.gz 编译 cd openssl-1.1.1n ./conf.
基于openssl国密算法生成CA、服务器和客户端证书
CHYabc123456hh的博客
07-20 2674
基于openssl国密算法生成CA、服务器和客户端证书
基于openssl国密算法SM2搭建CA及颁发证书
May的专栏
08-17 5921
基于openssl国密算法搭建CA及颁发证书
关于openssl证书的生成过程
elef的博客
08-16 336
openssl的使用
使用gmssl生成国密证书
05-19 688
【代码】使用gmssl生成国密证书
Java生成的国密cer证书
08-24
国密算法是我国自主研发创新的一套数据加密处理系列算法,很多项目都在用了,所以用Java代码生成的基于国密算法签发的sm2 证书,放到资源里面方便大家下载使用。
用gmssl制作国密SM2证书
06-21
用gmssl制作国密SM2证书的方法,符合国密标准
国密SM2/SM3/SM4/SM9算法及国密证书签发工具
02-10
一、支持国密算法 1、SM2算法:产生公私密钥对、加密/解密、签名验签; 2、SM3算法:SM3摘要,HMAC计算(GB/T 15852.2 MAC算法2) 3、SM4算法:80/缺量填充模式下的ECB模式加解密、CBC模式加解密; 4、SM9算法:产生KGC密钥对、产生用户私钥、密钥封装与解封、加密解密、签名验签; 二、支持国密证书 1、根证书、子证书签发; 2、证书签发者、使用者、有效期可自定义; 3、产生标准P10、封装成P7格式的P10。 三、各算法实现代码连接 1、SM2:https://download.csdn.net/download/qq42750617/13188634 2、SM3:https://download.csdn.net/download/qq42750617/13188630 3、SM4:https://download.csdn.net/download/qq42750617/13188626 4、SM9:https://download.csdn.net/download/qq42750617/13188614
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
openssl 生成 证书
11-23
打包的一个openssl包,自己编写的一个openssl 的批处理,填写基本信息就能生成key,免去了自己繁琐的输入命令。(openssl基于apache2.2.21提取) 如果配置来使用svn的话可以参考:http://blog.csdn.net/nicaiwa/article/details/6932472
国密SM2的证书制作及验证
weixin_43951955的博客
02-20 4804
公钥秘钥使用sm2算法 根证书制作步骤: 生成根证书秘钥 openssl ecparam -out ca.key -name SM2 -genkey 生成根证书请求文件 openssl req -key ca.key -new -out ca.req 生成根证书 openssl x509 -req -in ca.req -signkey ca.key -out ca.pem sm...
国密算法SM2证书制作
热门推荐
Mr.Kim.Wu 的日记
11-07 3万+
原文:http://www.jonllen.cn/jonllen/work/162.aspx 前段时间将系统的RSA算法全部升级为SM2国密算法,密码机和UKey硬件设备大都同时支持RSA和SM2算法,只是应用系统的加解密签名验证需要修改,这个更改底层调用的加密动态库来,原来RSA用的对称加密算法DES(AES)和摘要MD5(SHA1)也相应改变,分别对应SM1、SM3算法,SM1算法基于硬
SM2国密证书制作之算法参数"1.2.156.10197.1.301"
binchel的专栏
03-01 8733
// 前面是算法,后面是参数(可以为空) subJectPublicVector.add(new AlgorithmIdentifier(new ASN1ObjectIdentifier("1.2.840.10045.2.1"), new ASN1ObjectIdentifier("1.2.156.10197.1.301"))); // 未压缩公钥 前缀04+x坐标+y坐标 ...
python https携带国密证书
最新发布
09-06
Python可以使用第三方库`requests`来携带国密证书进行HTTPS请求。国密证书通常是一个.pem文件,可以在HTTPS请求中使用该证书进行安全通信。 首先,需要确保已经安装了`requests`库。可以使用pip命令进行安装。 ``` pip install requests ``` 接下来,可以使用如下代码片段来使用国密证书进行HTTPS请求: ``` import requests # 指定国密证书的路径 cert_file = "path/to/gm_cert.pem" # 发送HTTPS请求 response = requests.get("https://example.com", cert=cert_file) # 打印请求结果 print(response.text) ``` 在代码中,首先指定了国密证书的路径,通过`cert`参数传递给`requests.get`函数。这将确保在进行HTTPS请求时,使用指定的国密证书进行认证和加密。 需要注意的是,国密证书通常是通过密码保护的。如果证书文件有密码,还需要提供密码信息: ``` import requests cert_file = "path/to/gm_cert.pem" cert_password = "123456" # 证书的密码 response = requests.get("https://example.com", cert=(cert_file, cert_password)) print(response.text) ``` 在这个例子中,通过将证书路径和密码作为元组`(cert_file, cert_password)`传递给`cert`参数,以便进行HTTPS请求。 以上是使用Python携带国密证书进行HTTPS请求的方法。为了确保正确使用证书,应该仔细阅读相关的文档,并且按照实际情况进行相应的配置和操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农心语

您的鼓励是我写作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值