openssl 自签证书(带ip或者域名)

最新推荐文章于 2024-05-28 10:25:15 发布
最新推荐文章于 2024-05-28 10:25:15 发布
阅读量4.7k 收藏 10
点赞数 5
文章标签: openssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudfantasy/article/details/115540379
版权

1、查看证书内容

openssl x509 -text -noout -in mydomain.crt

2、创建自签根证书

openssl genrsa -out myCA.key
openssl req -new -x509 -days 3650 -key myCA.key -out myCA.crt

3、创建自签证书请求

请求时候没带x509v3

openssl genrsa -out mykey.key
openssl req -new -key mykey.key -out mycert.csr

4、根证书签发下级证书:

4.1、普通什么都没有,不带x509v3

openssl x509 -req -CA myCA.crt -CAkey myCA.key -CAcreateserial -days 3560 -in mycert.csr -out mycert.crt

4.2、绑定域名或者ip,带x509v3

x509v3信息 

用myca签发下级时候才带x509v3

vim v3.ext

[default]

# Extensions to add to a certificate request

#basicConstraints = CA:TRUE
#keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names

[alt_names]
#DNS.1 = flymote.com
#DNS.2 = *.flymote.com
#DNS.3 = www.flymot.com
#DNS.4 = *.flymot.com
IP.1 = 1.2.3.4
IP.2 = 5.6.7.8

通过自签根证书签发带域名或者ip的证书

openssl x509 -req -CA myCA.crt -CAkey myCA.key -CAcreateserial -days 3560 -in mycert.csr -out mycert-domain.crt -extfile v3.ext

5、转换为pkcs12(.p12)

摘自tomcat ssl配置文档:https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Configuration

openssl pkcs12 -export -in mycert.crt -inkey mykey.key\
                        -out mycert.p12 -name tomcat -CAfile myCA.crt\
                        -caname root -chain

别人家一:

https://www.it610.com/article/1288242166862229504.htm

请求文件添加x509信息:

1、拷贝openssl.cnf ,添加 san 信息,openssl req 时候 -config openssl.cnf

2、根证书签发时候再带上 -config openssl.cnf -extensions v3_req。或者里面创建根证书时候带san

总觉得第二部特多余,所以我继续找。

 

别人家二:

https://vircloud.net/operations/sign-ip-crt.html

1、创建根证书后还要添加本地信任

2、创建key时候添加2048

3、创建请求时候没有san

4、配置文件用在根证书签发下级证书,带了证书功能。用-extfile 引入自己写的san配置文件,或者用默认位置openssl.cnf,通过-extensions 指定配置文件中的x509信息块

本地信任我觉得没用,2048多余,特抗拒修改默认配置文件,为什么和第一个参考不同,san配置文件用在下级签发,不是请求?

 

别人家三:

https://blog.csdn.net/qq_24601199/article/details/105535345

不吐2048,serial不知道有什么用,没说到x509 san的事

 

别人家四:

https://www.icode9.com/content-4-681600.html

1、事拷贝openssl.cnf

2、事没说到 basicConstraints = CA:FALSE -> TURE

3、请求和签发都用 -config -extensions 

 

 

看了好多好多。后来我打开 openssl.cnf

前几行就说到,在openssl x509 命令时候用 -extfile 添加 x509v3扩展信息

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions        =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

但是这里 [= default] section 什么意思呢?反正我什么都不加,或者[default]都成功了。basicConstraints = CA:TRUE 都不用

 

 

把自签证书和自签根证书添加到Array后,激活ssl连接,提示证书链不完整?
警告:   cert chain is incomplete for sslv-203, please add interca or rootca

cloudfantasy
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用openssl为拥有父子域名的测试环境添加自签名证书
li1255994653的博客
03-16 103
点击红框Export按钮,将证书导出。点击not secure或者不安全。将证书安装到受信任的根证书颁发机构。双击打开导出的证书,点击安装证书。重启浏览器就可以正常访问了。
使用OpenSSL签证
约定喵
01-05 3204
目录 文章目录目录一. 名词解释1. CA机构2. SSL 证书SSL Certificates)3. HTTPS(超文本传输安全协议)4. 单向认证5. 双向认证二. 获取证书途径三. 使用OpenSSL签证前置准备1. 生成CA证书生成步骤注意事项2. 生成服务端证书配置文件生成步骤注意事项3. 生成客户端证书生成步骤四. 配置证书单向认证双向认证五. 吊销列表吊销步骤Nginx使用吊销列表 一. 名词解释 1. CA机构 电子商务认证中心、电子商务认证授权机构。是负责发放和管理数字证书的权威机构
OpenSSL 生成本地内网ip证书
gan_ge_ge的博客
06-10 2410
直接运行下方代码,即可在运行目录直接生成证书 openssl req \ -newkey rsa:2048 \ -x509 \ -nodes \ -keyout file.key \ -new \ -out file.crt \ -subj /CN=Hostname \ -reqexts SAN \ -extensions SAN \ -config <(cat /usr/local/openssl/openssl.cnf \ <(printf '[SAN]\nsubjectAltNam
OpenSSL自签名证书
爱喝星冰乐的博客
05-28 878
OpenSSL签证
生成openssl绑定服务段IP地址证书
weixin_36679105的博客
07-04 597
使用openssl生成证书绑定服务端ip地址以及使用springboot进行双效校验
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 3120
Nginx
使用Openssl生成签证
罗小爬的技术宝书
08-21 8766
graph LR S[开始]-- openssl genrsa-->A1[ca.key] A1-- openssl req --> B(ca.csr) B --openssl ca--> C(ca.cert) C --> D
OpenSSL生成自签名证书及使用
@tangguo123 博客
07-10 2652
openssl 生成自签名证书及使用
openssl生成自签名泛域名(通配符)证书
热门推荐
qq_21359467的博客
10-24 1万+
openssl自签名泛域名(通配符)证书生成命令(Liunx) 首先编译openssl.cnf文件,如果没有安装openssl的话先在度娘上搜索安装方法进行安装,下面的命令复制使用的时候将xxx.com改成自己的域名地址即可。 注意:将生成的xxx.com.csr和xxx.com.key保存好,如果以后要让CA厂商签名证书的时候就可以将xxx.com.csr文件发给CA厂商进行签名。 在 [ re...
openssl 解析证书
05-30
- **扩展信息**:如Basic Constraints(是否为根证书)、Key Usage(公钥用途,如签名、加密等)、Subject Alternative Names(用于记录多个DNS域名IP地址)等。 2. **验证证书**:使用`openssl x509 -in ...
一键脚本自动生产tomcat之pfx格式证书
10-28
在Tomcat中配置SSL/TLS时,通常需要一个由权威证书颁发机构(CA)签署的证书,或者在测试环境中使用自签名证书。PFX证书的引入简化了这一过程,因为它将私钥和证书打包在一起,使得导入到Tomcat服务器变得更加便捷。...
Nginx单IP地址配置多个SSL证书的方法示例
09-30
然而,一个默认配置的Nginx服务器在一个IP地址上只能绑定一个SSL证书,这在需要为多个域名提供HTTPS服务时可能会遇到限制。为了解决这个问题,我们可以利用TLS Server Name Indication (SNI) 扩展,使得Nginx在一个...
mad:为任何域和任何IP生成CA和派生证书。为任何域名IP生成证书
03-25
标题中的“mad”工具似乎是一个用于创建自签名根证书权威(Root Certificate Authority, CA)以及为任意域名IP地址生成证书的程序。在网络安全和加密通信领域,这种能力非常重要,特别是对于测试、开发或者在没有...
【nodeJs入门】第3篇:域名绑定服务器IP
03-29
这一次并不是讲nodejs的,有点跑偏了,但是都是为小程序搭建后台做的准备。先说下缘故,在小程序内开启的websoket服务在真机上测试...为排除这一个问题,我决定申请一个域名证书绑定在我的服务器IP上。  这一路很
openssl创建的自签名证书,使用自签发证书--指定使用多域名、泛域名及直接使用IP地址...
qq_30665009的博客
07-20 2409
openssl创建的自签名证书,使用自签发证书--指定使用多域名、泛域名及直接使用IP地址在开发环境及私有环境下需要使用SSL,于是创建自签发证书,而必须支持多域名、泛域名、直接IP访问1. Nginx的ssl模块安装详情步骤参考:https://www.cnblogs.com/haolb123/p/15030631.html2. nginx加入systemd管理在目录/lib/systemd/...
使用OpenSSL生成签证
zpsimon的博客
10-13 1635
使用openssl创建自签名证书
域名配置https自签名证书
就写一行代码
01-19 1820
本文为博主原创 转载请注明出处 尊重一下笔者的劳动成果 十分感谢 前言 因为最近一个项目卡在了https的证书上,与合作方沟通几天仍没有解决,故而大boss让研究一下,但是本人对https配置这证书完全没有接触过,知之甚少,接到这个任务其实是一头蒙的,但是大boss扔过来一个博客链接 让我参考 配置一下https 不得不从啊 所以先按照配置来哇 正文 最开始看小程序的文档 ios不支持自...
在Linux下如何根据域名自签发OpenSSL证书与常用证书转换
踏歌行的专栏
10-11 1748
在Linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。
harmonyos应用开发者高级认证.docx
最新发布
07-06
HarmonyOS应用开发者高级认证是检验开发者是否具备HarmonyOS高级应用开发能力的重要标准。以下是对HarmonyOS应用开发者高级认证的详细解析: 一、认证概述 HarmonyOS应用开发者高级认证要求开发者掌握鸿蒙的核心概念和端云一体化开发、数据、网络、媒体、并发、分布式、多设备协同等关键技术能力,具备独立设计和开发鸿蒙应用能力。通过这一认证,开发者能够系统地提升自己在HarmonyOS应用开发领域的技能水平,为未来的职业发展打下坚实基础。 二、认证流程 注册与实名认证:首先,开发者需要在华为开发者官方网站注册账号并进行实名认证。这是获取认证资格的前提条件。 课程学习:认证前,开发者需要参加HarmonyOS应用开发者高级认证的培训课程。这些课程涵盖了HarmonyOS的核心概念、开发技术、分布式应用开发、UI设计等关键内容。开发者可以通过线上或线下的方式进行学习,确保自己掌握所需的知识和技能。 参加考试:完成课程学习后,开发者可以报名参加HarmonyOS应用开发者高级认证考试。考试内容主要涵盖所学课程的重点知识和技能,通过考试即可获得认证资格。
shell nginx 自签证一键生成
10-13
在Shell脚本中一键生成自签名证书来配置Nginx,可以使用OpenSSL工具来完成该任务。以下是一个大致的Shell脚本的示例代码: ```bash #!/bin/bash # 生成自签名证书的相关信息 COMMON_NAME="example.com" # 自己的域名IP地址 COUNTRY="CN" STATE="Beijing" CITY="Beijing" ORGANIZATION="My Organization" ORG_UNIT="IT" PASSWORD="mypassword" # 可选,为证书设置密码 # 生成私钥 openssl genrsa -des3 -out server.key -passout pass:$PASSWORD 2048 # 生成证书签名请求(CSR) openssl req -new -key server.key -out server.csr -passin pass:$PASSWORD -subj "/C=$COUNTRY/ST=$STATE/L=$CITY/O=$ORGANIZATION/OU=$ORG_UNIT/CN=$COMMON_NAME" # 生成自签名证书 openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt -passin pass:$PASSWORD # 配置Nginx使用自签名证书 cat > /etc/nginx/conf.d/example.conf <<EOF server { listen 443 ssl; server_name $COMMON_NAME; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; # 其他Nginx配置 # ... } EOF # 重启Nginx服务 systemctl restart nginx ``` 上述脚本会生成`server.key`和`server.crt`两个文件作为自签名证书。其中,`server.key`是私钥文件,`server.crt`是证书文件。脚本还会将Nginx的配置文件`example.conf`写入到`/etc/nginx/conf.d/`目录下,从而配置Nginx使用生成证书。 请注意,在脚本中需要将`COMMON_NAME`变量设置为自己的域名IP地址,并根据需要修改其他的证书信息。同时,确保正确设置了Nginx的配置文件路径。 使用该脚本,通过执行`bash script.sh`命令,即可一键生成自签名证书并配置Nginx使用该证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值