openssl 生成SSL证书

最新推荐文章于 2023-02-08 16:10:27 发布
最新推荐文章于 2023-02-08 16:10:27 发布
阅读量4.6k 收藏 3
点赞数
分类专栏: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cy_cai/article/details/54632671
版权

注意:

  1. 制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。(我直接输入XX即可)

图解SSL协议(http://blog.csdn.net/wallezhe/article/details/50977337
基于OpenSSL自建CA和颁发SSL证书(http://seanlook.com/2015/01/18/openssl-self-sign-ca/)
openSSL安装问题(http://blog.sina.com.cn/s/blog_6151984a0100f0q4.html

SSL握手

爱丽丝给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的加密方法。
鲍勃确认双方使用的加密方法,并给出数字证书、以及一个服务器生成的随机数(Server random)。
爱丽丝确认数字证书有效,然后生成一个新的随机数(Premaster secret),并使用数字证书中的公钥,加密这个随机数,发给鲍勃。
鲍勃使用自己的私钥,获取爱丽丝发来的随机数(即Premaster secret)。
爱丽丝和鲍勃根据约定的加密方法,使用前面的三个随机数,生成"对话密钥"(session key),用来加密接下来的整个对话过程。

概念

首先要有一个CA根证书,然后用CA根证书来签发用户证书。
用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。

后缀详解

.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式

添加 index.txt 和 serial 文件

cd /etc/pki/CA/
touch /etc/pki/CA/index.txt 
touch /etc/pki/CA/serial
echo 01 > /etc/pki/CA/serial

CA根证书的生成

生成CA私钥(.key)–>生成CA证书请求(.csr)–>自签名得到根证书(.crt)(CA给自已颁发的证书)。

# Generate CA private key 
openssl genrsa -out ca.key 2048 
# Generate CSR 
openssl req -new -key ca.key -out ca.csr
# Generate Self Signed certificate(CA 根证书)
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

在实际的软件开发工作中,往往服务器就采用这种自签名的方式,因为毕竟找第三方签名机构是要给钱的,也是需要花时间的。

如下:

[root@localhost ssl]# openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
......................................................+++
..........................................+++
e is 65537 (0x10001)
[root@localhost ssl]# ls
ca.key
[root@localhost ssl]# openssl req -new -x509 -key ca.key -out ca.crt
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:HY
State or Province Name (full name) []:HY
Locality Name (eg, city) [Default City]:xx
Organization Name (eg, company) [Default Company Ltd]:xx
Organizational Unit Name (eg, section) []:xx
Common Name (eg, your name or your server's hostname) []:xx

用户证书的生成

生成私钥(.key)–>生成证书请求(.csr)–>用CA根证书签名得到证书(.crt)

服务器端用户证书

openssl genrsa -des3 -out server.key 1024 
openssl req -new -key server.key -out server.csr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

客户端用户证书

openssl genrsa -des3 -out client.key 1024 
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

生成pem格式证书

有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成 

cat client.crt client.key > client.pem 
cat server.crt server.key > server.pem

报错解决

openssl无法同时建两个crt文件——建完server.crt 后,建立client.crt时报错

[root@vm ssl]# openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config /usr/share/ssl/openssl.cnf
Using configuration from /usr/share/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 2 (0x2)
        Validity
            Not Before: Mar 17 00:40:06 2009 GMT
            Not After : Mar 17 00:40:06 2010 GMT
        Subject:
            countryName               = GB
            stateOrProvinceName       = Berkshire
            organizationName          = My Company Ltd
。。。
Certificate is to be certified until Mar 17 00:40:06 2010 GMT (365 days)
Sign the certificate? [y/n]:y
failed to update database
TXT_DB error number 2

解决:删掉上次server.crt时生成的/etc/pki/CA/index.txt,再touch一个新的。

_charles_
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于AnolisOS 8.6的OpenVPN和GmSSLv2国密算法SSL VPN测试
qlau2007的博客
06-05 1270
基于AnolisOS 8.6的OpenVPN 2.5.10,GmSSLv2.5.4 国密算法SSL VPN测试
OpenSSL生成ssl证书
01-11
OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何使用OpenSSL在Windows环境下为Nginx服务器配置HTTPS服务,以及如何生成和管理SSL证书。 首先,了解SSL证书的作用。...
SSL安全证书生成及概念解释
weixin_42258128的博客
08-20 4514
SSL安全证书-概念解析   一、关于证书 数字证书是一种认证机制。简单点说,它代表了一种由权威机构颁发授权的安全标志。 由来 在以前,传统网站采用HTTP协议进行数据传输,所有的数据几乎都用的明文,很容易发生隐私泄露。为了解决安全问题,大家开始考虑采用加解密的方案,于是乎诞生了公钥加密(非对称加解密)及签名算法。浏览器从服务端得到公钥,经过协商并生成动态密钥,此后所有的请求响应都基于动...
利用openssl生成自签名ssl证书以及nginx配置
m0_61141473的博客
10-24 1938
生成的两个文件放置于服务器目录,确定好目录位置,若放置的为nginx配置文件conf目录内,可按如下配置。一、openssl命令自签名证书ssl。2、根据私钥生成证书申请文件csr。3、最后生成的两个文件。
openssl 生成自签名证书
Csw_PHPer的博客
05-08 406
生成私钥 openssl genrsa -out server.key 1024 genrsa : 使用rsa算法 -desc:表示生成的key是有密码保护的(注:如果是将生成的key与server的证书一起使用,最好不需要密码,就是不要这个参数,否则其它人就会在请求的时候每次都要求输入密码 -out: 指定输出文件 1024: 生成key的大小,单为字节(bits) 生成证书申请 openssl req -new -key server.key -out server.csr 使用上面的命令就会创建一
本地调试,解决证书错误
u010227042的博客
02-20 1626
申请的证书,都需要验证DNS或验证网站。 本地测试无法验证了,https总是提示“证书错误”。 如何让浏览器认为本地站点是安全的,避免每次访问提示“没有加密”? 安装一个自签名证书。 1 下载openssl。 http://slproweb.com/products/Win32OpenSSL.html 到这里下载一个windows版本的(1.1.1d),有32/64位的,有正常几十M的,也有light版本3M左右的。 比如Win64OpenSSL_Light-1_1_1d.exe 就是64..
ssl认证、证书】TLS/SSL双向认证概念、openssl genrsa/x509 示例、证书内容
m0_45406092的博客
02-08 3165
ssl
免费openssl 生成ssl证书[ssl证书生成]
08-03
NULL 博文链接:https://nassir.iteye.com/blog/1983613
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
使用openssl生成单向ssl证书
04-04
通过以上步骤,你就成功地使用openssl生成了单向SSL证书,并将其应用于基于Boost.Asio的SSL通信测试。在实际生产环境中,通常会使用权威证书颁发机构签发的证书,以提供更高的信任度和安全性。但在测试和开发阶段,...
本地ssl证书生成工具
03-19
在本地生成SSL证书,可以帮助开发者在测试环境中模拟真实环境的安全设置,而无需依赖第三方证书颁发机构(CA)。下面将详细介绍如何生成本地SSL证书以及相关知识点。 1. SSL证书概述: SSL证书包含一个公钥和一个...
使用Openssl的RSA算法生成公私钥对
@evan_wu163
10-10 2628
openssl的安装参考这里:openssl的安装指导 非对称加密算法:RSA1024 /2048 /3072 /4096 在需要放置公私钥对所在的文件夹下,按住shift键点击右键,选择“在此处打开命令窗口”,可以打开cmd窗口。不会用快捷键的可以在命令行一步步cd跳转到文件夹也是可以的。 1、生成RSA3072私钥 在命令行中直接输入以下命令即可得到私钥的privatekey.txt文件。 openssl genrsa -out privatekey.txt 3072 2、根据私钥生成公钥 可以使用以下
使用OpenSSL生成RSA公私钥
专栏
04-28 6890
项目中需要用到公私钥实现数字签名、验签,通过下面的命令生成的:1.openssl genrsa -out rsa_private_key_2048.pem 2048 #生成rsa私钥,X509编码,2048位 2.openssl pkcs8 -in rsa_private_key_2048.pem -out rsa_private_key_2048_pkcs8.pem -nocrypt -topk...
使用openssl命令行产生密钥对、签发证书[详细]
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
08-30 7853
这个公钥内容的前半部分是什么呢?注意:以下操作命令均在openssl的bin目录内执行。
cfca证书-pri/cer
qq_43409111的博客
12-20 958
cfca证书是一对的,一个是pri后缀的私钥证书,一个cer后缀的公钥证书,公钥证书需要上传到我们系统,私钥证书你们用,读取私钥证书有个密码 私钥证书:是pfx后缀
Openssl子命令 genrsa, rsa, req, x509命令详解
t990423909的专栏
10-18 6228
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 genrsa、rsa、req、x509子命令主要用于RSA密钥的生成和处理,以及证书的申请和制作。 一、genrsa子命令 用途 genrsa子命令主要用于生成RSA私钥。 命令行格式: openssl genrsa [args] [numbits] 选项 -des 使用des cbc模式对私钥文件进行加密。 -des3 使用des3 cbc模式对私钥文件进行
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2308
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
OpenSSL命令---req
热门推荐
VitalityShow(网络通讯)
11-18 1万+
本指令用来创建和处理PKCS#10格式的证书。它还能够建立自签名证书,做Root CA。
openssl生成ssl证书
最新发布
09-11
要在Windows下使用Nginx配置HTTPS服务器,可以使用OpenSSL生成SSL证书生成证书的过程中,不需要再下载OpenSSL,只需要配置OpenSSL相关环境,并使用相应的命令来生成证书生成出来的是自签名SSL证书,适用于测试或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值