使用OpenSSL创建多级CA证书链签发证书并导出为pkcs12/p12/pfx文件

已于 2024-02-26 09:33:36 修改
阅读量7.7k 收藏 22
点赞数 7
分类专栏: 数据安全:身份认证 & 权限控制 文章标签: openssl 证书链 多级CA p12 制作证书
于 2022-03-21 14:32:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluishglc/article/details/123634374
版权
《大数据平台架构与原型实现:数据中台建设实战》博主历时三年精心创作的《大数据平台架构与原型实现:数据中台建设实战》一书现已由知名IT图书品牌电子工业出版社博文视点出版发行,点击《重磅推荐:建大数据平台太难了!给我发个工程原型吧!》了解图书详情,京东购书链接:https://item.jd.com/12677623.html,扫描左侧二维码进入京东手机购书页面。

文章目录

整体操作步骤如下:

  1. 生成根CA证书并自签
  2. 生成二级CA证书并使用CA证书签发
  3. 生成服务器证书并使用二级CA证书签发
  4. 制作CA证书链
  5. 打包为p12文件
  6. 转化为keystore文件

1. 生成根CA证书并自签


# 创建root-ca并自签名
openssl req -x509 -newkey rsa:2048 -nodes -keyout root-ca.key -out root-ca.crt -days 3650  -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=root-ca"

# 查看创建的证书
openssl x509 -in root-ca.crt -text -noout

2. 生成二级CA证书并使用CA根证书签发


# 创建secondary-ca的证书签名请求
openssl req -new -newkey rsa:2048 -nodes -keyout secondary-ca.key -out secondary-ca.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=secondary-ca"

# 使用root-ca签发secondary-ca的证书签名请求
openssl x509 -req -in secondary-ca.csr -CA root-ca.crt -CAkey root-ca.key -CAcreateserial -out secondary-ca.crt -days 3650

# 查看创建的证书
openssl x509 -in secondary-ca.crt -text -noout

3. 生成服务器证书并使用二级CA证书签发


# 创建server的证书签名请求
openssl req -new -newkey rsa:2048 -nodes -keyout server.key -out server.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=server"

# 用secondary-ca签发server的证书签名请求
openssl x509 -req -in server.csr -CA secondary-ca.crt -CAkey secondary-ca.key -CAcreateserial -out server.crt -days 3650

# 查看创建的证书
openssl x509 -in server.crt -text -noout

4. 制作CA证书链


# server.crt的签发是secondary-ca,而secondary-ca的签发是root-ca
# 对server.crt的验证必须使用到这两个证书,需要制作为证书链。
# 制作证书链的方法直白而简单:将证书拼接在一个文件中即可
cat root-ca.crt secondary-ca.crt > chain-ca.crt

5. 打包为p12文件


# 打包为p12文件
openssl pkcs12 -export -in server.crt -inkey server.key -chain -CAfile chain-ca.crt -name server -out server.p12 -password pass:changeit

# 查看生成p12文件
openssl pkcs12 -in server.p12 -password pass:changeit

# 只查看私钥
openssl pkcs12 -in server.p12 -nocerts -nodes -password pass:changeit

# 只查看客户端证书(非CA证书)
openssl pkcs12 -in server.p12 -clcerts -nokeys -password pass:changeit

# 只查看CA证书
openssl pkcs12 -in server.p12 -cacerts -nokeys -chain -password pass:changeit

执行后,将会显示三个公钥,然后要求输入密码,之后会显示私钥,总共4个文件的打包都在这个p12文件中了!内容如下:

MAC verified OK
Bag Attributes
    friendlyName: server
    localKeyID: 9B 11 E1 8F 2C E9 A6 09 9A B9 BC 7B 06 1A 43 E9 C5 C8 B6 5A 
subject=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=server
issuer=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=secondary-ca
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=secondary-ca
issuer=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=root-ca
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=root-ca
issuer=/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=root-ca
-----BEGIN CERTIFICATE-----
....
-----END CERTIFICATE-----
Bag Attributes
    friendlyName: server
    localKeyID: 9B 11 E1 8F 2C E9 A6 09 9A B9 BC 7B 06 1A 43 E9 C5 C8 B6 5A 
Key Attributes: <No Attributes>
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----BEGIN ENCRYPTED PRIVATE KEY-----
....
-----END ENCRYPTED PRIVATE KEY-----

6. 转化为keystore文件


# 将server.p12转化为server.jks
keytool -importkeystore -deststorepass changeit -destkeystore server.jks -srckeystore server.p12 -srcstoretype PKCS12 -srcstorepass changeit -noprompt

#查看keystore文件
keytool -list -v -keystore server.jks -v -storepass changeit

#查看keystore文件 (rfc 格式)
keytool -list -rfc -keystore server.jks -storepass changeit

要注意的是:

  • server.jks只有一个entry:server
  • 这个entry的类型是:Entry type: PrivateKeyEntry

对于PrivateKeyEntry类型要特别解释一下:该类型的官方解释是:它包含一个密钥,这个密钥是加密的,查看时也不会显示,也不能导出,但要清楚的是,这个私钥是实实在在存在。同时,它还会包含这个私钥对应的证书链!所以,转成server.jks的文件是包含了server.p12中的全部信息:一个私钥+3个证书组成的证书链!

参考Java官方文档: https://docs.oracle.com/javase/6/docs/api/java/security/KeyStore.html

最后:既然keystore文件无法导出密钥,一般的处理方法是先将其转为p12文件,然后就可以导出密钥了!

7. 注意事项


在第5步中,如果给-CAfile传入的不是root-ca.crtsecondary-ca.crt拼接后chain-ca.crt文件,而是给server.crt直接授权的secondary-ca.crt文件,命令行将会报错:

Error unable to get issuer certificate getting chain.

8. 使用openssl x509openssl ca签发CA证书的差别


使用openssl x509和使用openssl ca没有本质差别,openssl ca使用的配置文件,文件中配置固定的index.txt和serial文件,来记录签发过的证书,确保不会重复签发。如果把当前服务器作为专门的CA签发机构,使用openssl ca及其关联的配置文件会更好一些。如果只是命令行临时生成一下,用openssl x509完全可以满足需求。

此外,从测试来看,openssl x509签发的只能是v1版本的,即使加了-extensions v3_ca也无效,但是openssl ca -extensions v3_ca签发出来的就是v3版本的。

Laurence 
关注
  • 7
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
PfxCreator:根据证书和私钥的PEM表示创建PKCS#12文件(.pfx,.p12)。 无需安装
01-28
PfxCreator PEM证书+私钥-> PFX PfxCreator是一个简单的单exe工具,用于根据证书和私钥的PEM表示创建PKCS#12文件(.pfx,.p12)。 无需安装或依赖文件PfxCreator的工作简单明了,在许多需要将证书导入Microsoft相关系统的情况下可能有用。 您不需要使用OpenSsl或任何命令行工具。 我已经创建了它作为将原始证书导入的助手。 创建pfxp12文件 支持RSA和ECDSA密钥 输出已加密,密码可以为空 系统要求 .Net Framework 4.7.2
openSSL 生成证书 (三级_证书) linux
AAugust的博客
10-22 3990
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书导出证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
OpenSSL-证书
Remy的学习记录
07-28 1万+
SSL的CA证书可分为两种:Root CA(根CA证书)和Intermediate CA(中间CA证书)。其中Root CA是信任锚点,一条证书中只能有一个。Intermediate CA可以有多个。Root CA通常不直接签发用户证书,而是签发Intermediate CA,由Intermediate CA签发终用户书。它们之间的关系如下图所示:     证书就是Root CA
使用OpenSSL创建自签名数字证书例子2
weixin_42938827的博客
03-20 319
最近做一个项目,需要用到自签名数字证书。于是就研究了一下自签名数字证书实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
Openssl CA证书生成以及双向认证,及windows系统证书批量导出,android cer转bks
HeroRazor的专栏
05-25 7403
Openssl CA证书生成以及双向认证首先本文主要参照这篇文章写的 http://h2appy.blog.51cto.com/609721/1181234只是途中有些问题折腾了一下,比如openssl.cnf如何来的,这个文件在编译完openssl后,应该openssl根目录下/apps/demoCA有个,可以把他拷贝到openssl.exe同一级目录 里面有些目录配置,自己可以修改下,但是我
openssl 生成证书
raptor-minds
05-29 1594
基于ubuntu 18.04 版本 ##生成 root CA 证书 检查openSSL Version openssl version OpenSSL 1.1.1 11 Sep 2018 create directory mkdir -p /opt/ca/root mkdir /opt/ca/root/key vim /opt/ca/root/openssl.cnf [ ca ] default_ca = CA_default [ CA_default ] dir = /
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
openssl 生成自签名证书以及CA证书
jxhaha的博客
06-18 1284
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书制作过程与根证书类似,这里直接将命令贴上。中间证书制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
OpenSSL从内存中加载密钥、证书证书、根证书
C语言,网络安全,嵌入式
04-11 1351
众所周知,使用OpenSSL建立连接,需要加载密钥、证书证书、根证书等,这些接口从文件中加载很方便,但有些使用场景使我们必须从内存加载,以下是保姆级介绍OpenSSL从内存中加载密钥、证书证书、根证书的具体实现方法。
为什么需要进行CA证书的校验
u012938083的博客
12-12 1135
CA 证书是 TLS 安全协议中进行 身份认证 的重要内容之一,这个知识在解决 信任 的问题,即允许身份认证通过的客户端和服务端建立安全通信。 “可是 CA 证书究竟是什么?和 SSL 证书是什么关系?CA 证书为何可以进行身份认证呢?”以上种种,是我在学习这部分知识之前的困惑,也是本文想探究和分享的内容。 本文的面向对象是:产品经理 或者 其他对该知识感兴趣的读者,非研发视角。
理解证书证书
热门推荐
求变,从思想开始
05-30 3万+
证书证书最近一直在研究的东东,这东西说到底,也是依赖于一个前提ROOT 证书,所以说很多安全说最终也是个伪命题;只是搞理论的人喜欢把东西搞复杂,乱扯概念,不讲本质。1. 简单来说,end-user证书上面几级证书都是为了保证end-user证书未被篡改,保证是CA签发的合法证书,进而保证end-user证书中的公钥未被篡改。2.除了end-user之外,证书被分为root Certific...
openssl命令操作证书实例
09-06
提供实际操作的示例,演示linux下用openssl提供的命令,生成多级证书,并验证各级证书的合法性。
openssl 创建ca 签发证书
10-10
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
OpenSSL证书创建工具(最小绿色压缩包,含配置文件
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
钢筋混凝土污水池及提升泵站施工方案.doc
05-03
课程设计污水处理
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
05-03
PHP基于Web的subversion用户管理系统(源代码+设计说明书).zip
node-v12.22.10-linux-armv7l.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
The Experiment 3 of Engineering Electromagnetics.pdf
最新发布
05-03
The Experiment 3 of Engineering Electromagnetics.pdf
openssl生成证书 p12
08-01
使用openssl生成证书p12文件,可以按照以下步骤进行操作: 1. 首先,生成根CA证书并自签。可以使用openssl genrsa命令生成私钥,然后使用openssl req命令生成证书请求,最后使用openssl x509命令自签发证书。 2. 接下来,生成二级CA证书使用CA证书签发。同样,使用openssl genrsa命令生成私钥,使用openssl req命令生成证书请求,然后使用openssl ca命令使用CA证书签发二级CA证书。 3. 然后,生成服务器证书使用二级CA证书签发使用openssl genrsa命令生成私钥,使用openssl req命令生成证书请求,最后使用openssl ca命令使用二级CA证书签发服务器证书。 4. 接下来,制作CA证书。可以使用openssl命令将根CA证书和二级CA证书合并成一个文件。 5. 然后,将证书打包为p12文件使用openssl pkcs12命令将服务器证书和私钥合并成p12文件。 综上所述,可以使用openssl命令生成证书p12文件。具体的命令和步骤可以参考引用[1]和引用[2]中提供的信息。请注意,使用openssl x509和openssl ca命令生成证书的差别在于配置文件使用,具体选择哪种方式取决于需求和使用场景。参考引用[3]中的信息可以更好地理解这两种方式的差异。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Laurence 

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值