OPENSSL多级证书链

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量1k 收藏 2
点赞数
文章标签: java
原文链接:https://my.oschina.net/memoryblade/blog/1587309
版权

1.CA子签名证书

openssl genrsa -out ca.key 2048 
openssl req -x509 -new -nodes -key ca.key -subj "/CN=chain.test.com/OU=department/O=CorpName/L=beijing/ST=Haidian/C=CN" -days 36500 -out ca.cert
openssl pkcs12 -export -clcerts -name ca -inkey ca.key -in ca.cert -out ca.p12

如果要作为服务器验证根证书,则不能直接用这个 ca.p12,因为这个是带私钥的privateKeyEntry,需要:

keytool -delete -alias ca -keystore ca.p12 -storetype PKCS12 -storepass changeit
keytool -import -alias ca -file ca.cert -keystore ca.p12 -storetype PKCS12 -storepass changeit

这样生成的是 trustedKeyEntry,只有证书

2.生成中间证书

openssl genrsa -out root.key 2048
openssl req -new -key root.key -out root.csr -config croot.conf
openssl x509 -req -in root.csr -CA ca.cert -CAkey ca.key -CAcreateserial -out root.cert -days 365 -extensions v3_req -extfile croot.conf
openssl pkcs12 -export -clcerts -name root -inkey root.key -in root.cert -out root.p12

keytool -delete -alias root -keystore root.p12 -storetype PKCS12 -storepass changeit
keytool -import -alias root -file root.cert -keystore root.p12 -storetype PKCS12 -storepass changeit

troot.conf

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = BJ
L = BJ
O = BAIDU
OU = fsg
CN = www.root.test.com

[v3_req]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1=10.***

3.生成 Client 证书

openssl genrsa -out platform.key 2048
openssl req -new -key platform.key -out platform.csr -config cplatform.conf
openssl x509 -req -in platform.csr -CA root.cert -CAkey root.key -CAcreateserial -out platform.cert -days 365 -extensions v3_req -extfile cplatform.conf
openssl pkcs12 -export -clcerts -name secretkey -inkey platform.key -in platform.cert -out platform.p12
# 构建证书链,将上级证书加入platform.p12,platform 自己的证书是 privateKeyEntry
keytool -import -alias root -keystore platform.p12 -storetype PKCS12 -storepass changeit -trustcacerts -file root.cert

tplatform.conf

[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no

[req_distinguished_name]
C = CN
ST = BJ
L = BJ
O = BAIDU
OU = fsg
CN = www.platform.test.com

[v3_req]
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1=10.115.***.95

查看一下最后生成的

$ keytool -list -keystore platform.p12 -storetype pkcs12 -storepass changeit

Keystore type: PKCS12
Keystore provider: SunJSSE

Your keystore contains 3 entries

secretkey, Dec 11, 2017, PrivateKeyEntry,
Certificate fingerprint (SHA1): 95:B9:97:52:46:25:83:C7:EE:6B:42:17:55:0B:6D:0D:D6:9F:9D:60
root, Dec 11, 2017, trustedCertEntry,
Certificate fingerprint (SHA1): D5:D5:E9:2D:76:0B:C3:1D:79:1E:D8:08:FD:DE:A8:03:7E:8D:8F:0A
ca, Dec 11, 2017, trustedCertEntry,
Certificate fingerprint (SHA1): AA:31:9E:AA:E8:79:EC:E8:E1:EF:89:C3:CD:86:75:79:6C:95:AF:B4

 

4.TOMCAT配置

<Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
    sslProtocol="TLS" keystoreFile="${catalina.base}/webapps/ROOT/WEB-INF/classes/META-INF/caFiles/platform.p12"
    keystorePass="changeit" keystoreType="PKCS12"
    keyAlias="secretkey"
    truststoreFile="${catalina.base}/webapps/ROOT/WEB-INF/classes/META-INF/caFiles/root.p12"
    truststorePass="changeit" truststoreType="PKCS12"
    clientAuth="true"/>

 

转载于:https://my.oschina.net/memoryblade/blog/1587309

chengji2928
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl证书验证
Netfilter
04-01 1万+
使用openssl验证证书可以用以下命令:debian:/home/zhaoya/openssl#openssl verify -CAfile ROOT_CERT USER_CERT其中的ROOT_CERT可以包含很多证书,可以用cat命令将多级的ca证书合并到一个文件里面,然后程序启动以后会加载ROOT_CERT,ROOT_CERT会在内存中形成一个堆栈结构,各个证书的顺序和文件里面的
使用openssl创建自签名的证书
qq_40593293的博客
02-11 2069
第一步:生成自签名的根证书 $ openssl req -x509 \ -newkey rsa \ -outform PEM -out tls-rootca.pem \ -keyform PEM -keyout tls-rootca.key.pem \ -days 35600 \ -nodes \ -subj "/C=cn/O=mycomp/OU=mygroup/CN=rootca" 结果是生成根证书文件:tls-rootca.pem和tls...
openssl 生成多级X.509 v3 ECC公钥证书完整示例
Reflection_in_water的博客
02-28 1668
操作步骤: 1. 生成ECC根密钥对,自签名生成根证书。命令中的openssl.cnf 用于证书版本及证书扩展,文件具体内容请参考文末的接3。 # 生成根CA公钥 openssl ecparam -out EccRootCA.key -name prime256v1 -genkey # 生成证书CSR请求 openssl req \ -subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=root.test
浅谈基于openssl多级证书,Multi-level CA的签发和管理,以及双向认证
m0_38084180的博客
04-21 4110
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证和双向认证过程和区别、数字证书、CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书放在服务端,客户ht
通过openSSL生成自签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
openssl命令操作证书实例
09-06
在我们的实例中,我们将创建一个简单的多级证书。这个过程通常包括以下几个步骤: 1. **创建根CA证书**:使用`openssl req`命令生成私钥和自签名的根CA证书。这一步需要配置文件`openssl.cnf`,其中定义了证书的...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
OpenSSL 一键生成证书
08-10
"OpenSSL 一键生成证书"项目是针对OpenSSL进行的二次开发,旨在简化证书创建过程。通常,生成SSL/TLS证书需要一系列复杂的命令行操作,包括生成私钥、创建证书签名请求(CSR)、签署证书等步骤。这个项目通过批处理...
java生成证书 包括openssl
12-05
Java 生成证书包括 OpenSSL Java 生成证书是指通过 Java 的 keytool 工具和 OpenSSL 库生成数字证书的过程。在 HTTPS 环境下,证书是必不可少的组件, play a crucial role in ensuring the security and ...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
SSL&OpenSSL
kaichekaihanma的博客
07-21 4767
SSL ssl协议(Secure Sockets Layer安全套接层)是一套网络通信安全协议,是由网景公司在1994年创建设计的,它具有数据加密,完整性校验及身份验证功能。它的出现是为了保证网络数据传输的安全性。如果没有SSL的加持,我们在网络中传输的数据就都处在裸奔的状态。SSL协议处在应用层和传输层之间,可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议本身分为两层:上层为SSL握手协议(SSL Handshake Protocol),SSL密码变化协议(SSL change ci
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 3309
本地使用 openssl 生成证书
OpenSSL-证书
Remy的学习记录
07-28 1万+
SSL的CA证书可分为两种:Root CA(根CA证书)和Intermediate CA(中间CA证书)。其中Root CA是信任锚点,一条证书中只能有一个。Intermediate CA可以有多个。Root CA通常不直接签发用户证书,而是签发Intermediate CA,由Intermediate CA来签发终用户书。它们之间的关系如下图所示:     证书就是Root CA签
OpenSSL从内存中加载密钥、证书证书、根证书
C语言,网络安全,嵌入式
04-11 1577
众所周知,使用OpenSSL建立连接,需要加载密钥、证书证书、根证书等,这些接口从文件中加载很方便,但有些使用场景使我们必须从内存加载,以下是保姆级介绍OpenSSL从内存中加载密钥、证书证书、根证书的具体实现方法。
ROS OpenSSL X509 证书构建及自定义验证
Lin__Mu的博客
03-22 2684
在WSL-Ubuntu20.04 基于 ROS、OpenSSL、C++实现X509证书构建、发送接收及验证。本实验重庆大学国家卓越工程师学院实验。本人经验尚浅,如本文有任何错误或改进之处欢迎各位留言!😉如果觉得不错的话,可以✨一下吗?
使用OpenSSL创建自签名数字证书例子2
weixin_42938827的博客
03-20 361
最近做一个项目,需要用到自签名数字证书。于是就研究了一下自签名数字证书实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
openssl验证证书_如何使用OpenSSL验证证书
cunjiu9486的博客
10-08 5700
openssl验证证书X509 certificates provides the authenticity of provided certificates in a chained manner. Internet world generally uses certificate chains to create and use some flexibility for trust. But...
使用 openssl 生成证书(含openssl详解)
热门推荐
萧海的博客
06-04 1万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
openssl操作证书
09-08
OpenSSL是一个开放源代码的加密工具包,可以用来进行SSL/TLS协议的实现。在使用OpenSSL操作证书时,可以采取以下步骤: 1.生成私钥和证书请求:首先,使用OpenSSL生成一个私钥和一个证书请求(CSR)。私钥用来签署证书,而CSR包含了申请者的公钥信息。 2.自签名证书:接下来,使用生成的私钥和CSR生成一个自签名证书。自签名证书可以用于测试或者临时环境,但在生产环境中,应该使用由受信任的第三方机构签名的证书。 3.签名证书:如果要获得第三方机构签名的证书,需要将CSR发送给证书颁发机构(CA)。CA会对CSR进行验证,并使用CA的私钥签名生成一个证书。这个证书可以用来在客户端与服务器之间建立信任。 4.构建证书证书是由证书和根证书构成的一条验证路径。在OpenSSL中,可以通过将证书和根证书连接在一起来构建证书。同时,还需要将每个证书保存为单独的文件,以便于使用。 5.验证证书:在服务端和客户端之间建立连接时,服务器需要将证书发送给客户端。客户端使用CA的公钥来验证证书的有效性。如果证书中的任何一个证书无效或不受信任,连接将被中断。 通过以上步骤,我们可以使用OpenSSL操作证书。这样可以确保在SSL/TLS连接中建立起合法且可信的通信路径,保证通信的安全性和准确性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值