CentOS8 OpenSSL制作自签证书HTTP升级HTTPS 配置

最新推荐文章于 2024-04-12 12:00:09 发布
最新推荐文章于 2024-04-12 12:00:09 发布
阅读量816 收藏 4
点赞数
文章标签: https centos 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cd_sc/article/details/122254240
版权

1.OpenSSL 制作自签名证书

1、安装 OpenSSL 。

[centos@host ~ ]$ sudo dnf install openssl

2、创建 SSL 工作目录。

证书包括 CA 认证机构、服务器和客户端三类证书的制作,在 SSL 工作根目录下分别建立"ca"、"server"、"client"子目录存放对应的输出文件,并设置所有者为证书管理账户。

[centos@host ~ ]$ sudo mkdir -p /data/ssl/ca
[centos@host ~ ]$ sudo mkdir -p /data/ssl/server
[centos@host ~ ]$ sudo mkdir -p /data/ssl/client
[centos@host ~ ]$ sudo chown -R root:root /data/ssl

指令名称chown 改变文件或目录的访问权限

# chown [-R] [用户名称:组名称] [文件或目录] 

1.1.第一阶段:制作 CA 根证书

1、制作 CA【秘钥】。

操作过程:设置 CA 秘钥口令。

[centos@host ~ ]$ openssl genrsa -des3 -out /data/ssl/ca/ca.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)
................................+++++
............+++++
e is 65537 (0x010001)
Enter pass phrase for /data/ssl/ca/ca.key:      ---(输入123)
Verifying - Enter pass phrase for /data/ssl/ca/ca.key:    ---(输入123)

查看 CA 秘钥文件(需要输入秘钥口令):

[centos@host ~ ] openssl rsa -in /data/ssl/ca/ca.key

Enter pass phrase for /data/ssl/ca/ca.key:    ---(输入123)
......

 

2、制作 CA 【根证书签名申请】。

输入 CA 秘钥文件,输出 CA 根证书签名申请文件。

操作过程:验证 CA 秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。

[centos@host ~ ]$ openssl req -new -key /data/ssl/ca/ca.key -out /data/ssl/ca/ca.csr

Enter pass phrase for /data/ssl/ca/ca.key:    ---(输入123)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd 
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:tz
Common Name (eg, your name or your server's hostname) []:ca
Email Address []:       ---(直接回车)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:          ---(直接回车)
An optional company name []:      ---(直接回车)

注意:【Common Name】应为 CA 机构的名称。

查看 CA 证书申请文件:

[centos@host ~ ]$ openssl req -in /data/ssl/ca/ca.csr -noout -text

3、生成 CA 自签名【根证书】,即对签名申请进行自签名生成证书。

输入 CA 秘钥文件、CA 根证书签名申请,输出 CA 自签名根证书文件。

操作过程:验证 CA 秘钥口令。

[centos@host ~ ]$ openssl x509 -req -days 3650 -signkey /data/ssl/ca/ca.key -in /data/ssl/ca/ca.csr -out /data/ssl/ca/ca.pem

Signature ok
subject=C = cn, ST = sd, L = qd, O = private, OU = tz, CN = ca
Getting Private key
Enter pass phrase for /data/ssl/ca/ca.key:      ---(输入123)

4、导出 CA【 PKCS12 证书】。

输入 CA 自签的 CA 证书文件、CA 秘钥,输出 CA PKCS12 证书。

操作过程:设置 PKCS12 证书口令。

[centos@host ~ ]$ openssl pkcs12 -export -in /data/ssl/ca/ca.pem -inkey /data/ssl/ca/ca.key -out /data/ssl/ca/ca.p12 -name ca

Enter Export Password:            ---(输入123)
Verifying - Enter Export Password:   ---(输入123)

5、查看 CA 产生的全部文件。

[centos@host ~ ]$ ls /data/ssl/ca/
ca.csr  ca.key  ca.p12  ca.pem

1.2.第二阶段:制作服务器证书

1、制作服务器【秘钥】。

操作过程:设置服务器秘钥口令。

[centos@host ~ ]$ openssl genrsa -des3 -out /data/ssl/server/server.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)
.......................................................+++++
...........+++++
e is 65537 (0x010001)
Enter pass phrase for /data/ssl/server/server.key:     ---(输入123)
Verifying - Enter pass phrase for /data/ssl/server/server.key:   ---(输入123)

查看服务器秘钥文件(需要输入秘钥口令):

[centos@host ~ ] openssl rsa -in /data/ssl/server/server.key

Enter pass phrase for /data/ssl/server/server.key:    ---(输入123)
......

2、制作服务器【证书签名申请】。

输入服务器秘钥文件,输出服务器证书签名申请文件。

操作过程:验证服务器秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。

[centos@host ~ ]$ openssl req -new -key /data/ssl/server/server.key -out /data/ssl/server/server.csr

Enter pass phrase for /data/ssl/server/server.key:      ---(输入123)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:tz
Common Name (eg, your name or your server's hostname) []:192.168.0.209   ---(为服务器ip)
Email Address []:         ---(直接回车)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:             ---(直接回车)
An optional company name []:           ---(直接回车)

注意:【Common Name】应为服务器的 IP 地址或者 DNS(如:192.168.216.128 或者 localhost)。在 在 Web 容器配置后,当客户端使用 HTTPS 协议访问时,如果域名与【Common Name】不一致,则会进行风险提示。

3、生成 CA 签名的服务器【证书】,即 CA 对服务器签名申请进行签名生成服务器证书。

输入 CA 根证书文件、 CA 秘钥文件、服务器证书签名申请,输出 CA 签名的服务器证书文件。

操作过程:验证 CA 秘钥口令。

[centos@host ~ ]$ openssl x509 -req -days 3650 -CA /data/ssl/ca/ca.pem -CAkey /data/ssl/ca/ca.key -CAcreateserial -in /data/ssl/server/server.csr -out /data/ssl/server/server.pem

Signature ok
subject=C = cn, ST = sd, L = qd, O = private, OU = tz, CN = 192.168.0.209
Getting CA Private Key
Enter pass phrase for /data/ssl/ca/ca.key:    ---(输入123)

4、导出服务器【 PKCS12 证书】。

输入 CA 签名的服务器证书文件,输出服务器 PKCS12 证书。

操作过程:验证服务器秘钥口令 => 设置 PKCS12 证书口令。

[centos@host ~ ]$ openssl pkcs12 -export -in /data/ssl/server/server.pem -inkey /data/ssl/server/server.key -out /data/ssl/server/server.p12 -name https_cert

Enter pass phrase for /data/ssl/server/server.key:      ---(输入123)
Enter Export Password:             ---(输入123)
Verifying - Enter Export Password:          ---(输入123)

5、查看服务器产生的全部文件。

[centos@host ~ ]$ ls /data/ssl/server
server.pem  server.csr  server.key  server.p12

1.3.第三阶段:制作客户端证书(双向认证时使用)

1、制作客户端【秘钥】。

操作过程:设置客户端秘钥口令。

[centos@host ~ ]$ openssl genrsa -des3 -out /data/ssl/client/client.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)
.........+++++
..........+++++
e is 65537 (0x010001)
Enter pass phrase for /data/ssl/client/client.key:     ---(输入123)
Verifying - Enter pass phrase for /data/ssl/client/client.key:    ---(输入123)

查看客户端秘钥文件(需要输入秘钥口令):

[centos@host ~ ] openssl rsa -in /data/ssl/client/client.key

Enter pass phrase for /data/ssl/client/client.key:     ---(输入123)
......

2、制作客户端【证书签名申请】。

输入客户端秘钥文件,输出客户端证书签名申请文件。

操作过程:验证客户端秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。

[centos@host ~ ]$ openssl req -new -key /data/ssl/client/client.key -out /data/ssl/client/client.csr

nter pass phrase for /data/ssl/client/client.key:     ---(输入123)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:tz
Common Name (eg, your name or your server's hostname) []:https_client
Email Address []:      ---(直接回车)

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:            ---(直接回车)
An optional company name []:        ---(直接回车)

注意:【Common Name】应为客户端的统一标识。

3、生成 CA 签名的客户端【证书】,即 CA 对客户端签名申请进行签名生成客户端证书。

输入 CA 根证书文件、 CA 秘钥文件、客户端证书签名申请,输出 CA 签名的客户端证书文件。

操作过程:验证 CA 秘钥口令。

[centos@host ~ ]$ openssl x509 -req -days 3650 -CA /data/ssl/ca/ca.pem -CAkey /data/ssl/ca/ca.key -CAcreateserial -in /data/ssl/client/client.csr -out /data/ssl/client/client.pem

Signature ok
subject=C = cn, ST = sd, L = qd, O = private, OU = tz, CN = https_client
Getting CA Private Key
Enter pass phrase for /data/ssl/ca/ca.key:     ---(输入123)

4、导出客户端【 PKCS12 证书】。

输入 CA 签名的客户端证书文件,输出客户端 PKCS12 证书。

操作过程:验证客户端秘钥口令 => 设置 PKCS12 证书口令。

[centos@host ~ ]$ openssl pkcs12 -export -in /data/ssl/client/client.pem -inkey /data/ssl/client/client.key -out /data/ssl/client/client.p12 -name https_client

Enter pass phrase for /data/ssl/client/client.key:   ---(输入123)
Enter Export Password:              ---(输入123)
Verifying - Enter Export Password:             ---(输入123)

5、查看客户端产生的全部文件。

[centos@host ~ ]$ ls /data/ssl/client
client.pem  client.csr  client.key  client.p12

2.Web 容器配置 HTTPS 站点

2.1.Tomcat 配置方案

修改server.xml文件

把默认的8080端口改成80并把redirectPort从8443改为443

 

<Connector port="80" protocol="HTTP/1.1"
               connectionTimeout="20000"
               redirectPort="443" />

 在文件中的增加以下配置并保存(服务器认证):

<Server>
    <Service>  
        <Connector
            port="443" 
            protocol="org.apache.coyote.http11.Http11NioProtocol"
            maxThreads="150"
            SSLEnabled="true"
            keystoreFile="/data/ssl/server/server.p12"
            keystoreType="PKCS12"
            keystorePass="123">
    </Connector>
    </Service>  
</Server>

 只运行 https,不允许http 则 web.xml 的 welcome-file-list 下面 中添加

<welcome-file-list>
        <welcome-file>/</welcome-file>
</welcome-file-list>

<security-constraint>
        <web-resource-collection>
            <web-resource-name>sslwebsokect</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

 启动/重新启动 Tomcat 。

2.2.Nginx 配置方案

如果使用nginx则需要做如下配置:

http {
    server {
        listen       80;
        listen       443 ssl;

        server_name  localhost;

        # 服务器签名证书文件
        ssl_certificate      /data/ssl/server/server.pem;
        # 服务器秘钥文件
        ssl_certificate_key  /data/ssl/server/server.key;

        # 开启客户端证书认证(双向认证)
        # ssl_verify_client on; 
        # CA 证书(双向认证)
        # ssl_client_certificate /data/ssl/ca/ca.pem;
        

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            ...
        }
    }
}

启动/重新启动 Nginx 服务器。

3.客户端配置

3.1.安装 CA 机构证书

以火狐浏览器为例

 

 

 

 

 完成。

注:不能通过 https://127.0.0.1/ 访问项目要用真实ip访问

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

cd_sc
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Centos7/8搭建https服务器(SSL域名证书的申请和部署--Apache及Nginx实现HTTPS)
weixin_48803304的博客
08-07 8330
一、HTTP简介 从2018年7月1日开始,Chrome将显示所有未使用SSL证书的网站标记为“不安全”,而拥有SSL证书的网站的权重排名都会获得提升。 随着企业与网民网络安全意识的增加,全网正在走向全面https的时代,加密将无处不在,无论是网站、APP、软件、小程序等都在大规模应用SSL进行加密。 但Web服务器在默认情况下使用HTTP,这是一个纯文本的协议。正如其名称所暗示的,纯文本协议不会对传输中的数据进行任何形式的加密。而基于HTTP的Web服务器是非常容易配置,它在安全方面有重大缺陷。任何”中间
如何在centos8上配置一个ca证书颁发机构并且颁发一个自签名证书【超详细!!!】
a91888888的博客
12-09 392
12. 配置Apache SSL虚拟主机。在文件中添加以下内容:```在文件中添加以下内容:```13. 重启Apache服务。4. 创建CA证书配置文件。8. 配置证书签名请求文件。1. 安装OpenSSL。3. 创建CA证书数据库。6. 生成CA自签名证书。2. 创建CA证书目录。7. 配置证书颁发机构。11. 配置SSL证书。添加以下内容:```
RedHat/CentOS8【OpenSSL制作签证HTTPS 配置
weixin_44048054的博客
04-19 1613
RedHat/CentOS8【OpenSSL制作签证HTTPS 配置 张毅SOHO 0.093 2020.05.22 23:57:39 字数 5,131 阅读 910 OpenSSL是一个健壮的、商业级的、功能齐全的开源(遵循 Apache 2.0 协议)工具包,用于传输层安全(TLS)和安全套接字层(SSL)协议,实现安全通信、避免窃听、确认另一端连接者身份的功能。它也是一个通用密码库。 本方案基于CentOS8系统设计,建议在RedHat/CentOS系统中使用。 目录 1.OpenSSL
如何在CentOS7.x上生成自签名SSL证书
最新发布
viman3344的专栏
04-12 850
通过上述步骤,你已经成功在CentOS 7.x系统上生成了一个自签名的HTTPS证书,可以用于本地测试或内部网络的安全通信。在生产环境中,建议使用由受信任的CA签发的证书以确保最高级别的安全性。另外,如果你有GPT4.0的需求,可以参考GPT4.0教程来获得。
centos8 nginx 开启 ssl(https)- 阿里云申请 SSL 证书
linzi19900517的博客
12-19 1279
域名开启 ssl(https证书,以阿里云为例。
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
AriaGIS
04-01 9804
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
CentOS7自签名SSL证书并给nginx配置https
XiaoHH的博客
05-09 3242
生成自签名ssl证书,用ssl证书给nginx配置https
http升级https
work4j的博客
03-23 480
为了保证网站的机密信息从用户浏览器到服务器之间的高强度加密传输,保证信息不会被非法窃取和非法篡改。需要将http升级https升级https很简单,简单来说就是申请证书+部署。 一、申请证书: SSL证书有收费的,当然也有免费的。在各平台都能在控制台的SSL证书管理那里,申请到免费证书。这里拿腾讯云举例: 按照要求,申请免费证书即可。 二、部署 颁发证书后,需要进行部署,部署文档各平台也提供的有: https://cloud.tencent.com/document/product/400/4143
让linux服务器支持https(安全http协议)
weixin_34006965的博客
11-17 406
我们通常用“http://”这样的方式来访问网站,而此时传输的内容是可能被别人截获的,因为其内容是通过明文传输,所以在传递一些隐私、以及密码相关的信息时,就显得非常的不安全。在一些比较正式的网站、以及一些银行相关的网站中,一些需要提交隐私或者重要级别比较高的密码时,都采用“https://”的方式,来将传输内容加密,从而保证用户安全和避免隐私的泄漏。 今天在这里,我就通过mod_ssl来使我...
CentOS8_SSL_HTTPS自签名证书配置
Litbai_zhang
08-29 821
本机环境 CentOS_8.4.2105 MariaDB 10.3.28 nginx/1.14.1 检查环境 nginx -V 需安装with-http_ssl_module 生成CA证书 1.进入nginx服务目录,创建certs目录并生成CA证书 cd /usr/share/nginx/ mkdir certs && cd certs openssl req -newkey rsa:4096 -nodes -sha256 -keyout ca.key -x
centos6配置tomcat8开机自启动脚本
09-30
主要介绍了centos6配置tomcat8开机自启动脚本的相关资料,需要的朋友可以参考下
centos5升级低版本openssl到8版本
02-24
资源包括了,升级的具体操作步骤,升级所需的所有的包。
如何将CentOS7升级CentOS8(详细步骤)
09-14
主要介绍了如何将CentOS7升级CentOS8(详细步骤),文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Centos7升级openssl-3.2.0和openssh-9.6p1笔记和软件
01-09
Centos7升级openssl-3.2.0和openssh-9.6p1笔记和软件 包括详细步骤和软件openssl-3.2.0和openssh-9.6p1,这应该是目前为准最新的版本。
CentOS7 openssh8.2p1 openssl 1.1.1d升级.txt
03-11
linux操作系统CentOS 7 国内yum源更新 openssh-8.2p1以及openssl-1.1.1d最新版本升级
centos ssl证书_如何在CentOS 8上为Apache创建自签名SSL证书
08-17 858
centos ssl证书 介绍 (Introduction) TLS, or “transport layer security” — and its predecessor SSL — are protocols used to wrap normal traffic in a protected, encrypted wrapper. Using this technology, server...
OpenSSL使用示例创建自签名证书Linux
玖拾说架构
03-31 735
在本文中,我将与openssl分享在Linux中创建自签名证书的步骤。 在Linux中创建自签名证书所需的步骤 生成自签名证书的步骤包括: 生成私钥 server.key 创建证书签名请求(CSR)server.csr 签署证书签名请求并生成自签名证书server.crt 安装openssl 在RHEL / CentOS 7/8上,您可以分别使用yum / dnf,而在Ubuntu上,则可以apt-get用于安装openssl rpm [root @ centos8-1〜]#yum -y install
Centos CA自签证服务器及自签证配置手册
Q先生
08-11 1548
1 准备工作 1.1 系统版本信息 [08:33:10 root@centos8 ~]#cat /etc/redhat-release CentOS Linux release 8.4.2105 [08:33:26 root@centos8 ~]#openssl version OpenSSL 1.1.1g FIPS 21 Apr 2020 1.2 创建必要的目录和文件 mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} touch /etc/pki/C
centos信任自建CA证书
weixin_44972135的博客
02-02 3870
我们经常会用配置网站可以用https访问,但是购买证书不现实,所以我们会选择自建CA证书,但是自建的CA证书,在linux中用curl访问时总会报错,报错信息如下: curl: (60) Peer certificate cannot be authenticated with known CA certificates More details here: http://curl.haxx.se/docs/sslcerts.html curl performs SSL certificate veri
CentOS8【OpenSSL制作签证HTTPS 配置
06-08
CentOS 8 上制作签证配置 HTTPS 需要以下步骤: 1. 安装 OpenSSL 在终端中输入以下命令进行安装: ``` sudo dnf install openssl ``` 2. 生成私钥 在终端中输入以下命令生成私钥: ``` openssl genrsa -out server.key 2048 ``` 这将生成一个 2048 位的 RSA 私钥,并将其保存到名为 server.key 的文件中。 3. 生成证书签名请求 (CSR) 在终端中输入以下命令生成证书签名请求: ``` openssl req -new -key server.key -out server.csr ``` 在生成 CSR 时,你需要提供一些信息,如国家/地区、州/省、城市、组织名称、组织单位、通用名称等。这些信息将被用于生成 SSL 证书。 4. 生成自签名 SSL 证书 在终端中输入以下命令生成自签名 SSL 证书: ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将生成一个有效期为 365 天的自签名 SSL 证书,并将其保存到名为 server.crt 的文件中。 5. 配置 HTTPS 在 Apache 或 Nginx 中启用 HTTPS 需要编辑相应的配置文件并重启服务。 以 Nginx 为例,编辑 /etc/nginx/nginx.conf 文件,在 server 块中添加以下内容: ``` listen 443 ssl; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ``` 然后重启 Nginx 服务: ``` sudo systemctl restart nginx ``` 现在你可以通过 https://yourdomain.com 访问网站,并且浏览器中将出现 SSL 证书的锁图标,表示已启用 HTTPS。 注意:在生成 SSL 证书时,一定要确保通用名称 (CN) 与你要使用 SSL 证书的域名相同,否则 SSL 连接将被浏览器拒绝。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值