openssl生成CA证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量2.3w 收藏 32
点赞数 9
分类专栏: 网络协议 文章标签: https证书 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cowbin2012/article/details/100134114
版权

什么是x509证书链

  • x509证书一般会用到三类文件,key,csr,crt。
  • key是私用密钥,openssl格式,通常是rsa算法。
  • csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
  • crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。

概念

证书类别

  • 根证书 生成服务器证书,客户端证书的基础。自签名。
  • 服务器证书 由根证书签发。配置在服务器上。
  • 客户端证书 由根证书签发。配置在服务器上,并发送给客户,让客户安装在浏览器里。

要注意

  • 服务器证书的cn要和servername一致,否则启动httpd时有警告。
  • 浏览器安装客户端证书时,需要用pkcs12转换成pfx格式,否则可以安装但无效。
  • 把根证书安装到浏览器的受信CA中,访问服务器时就不会出警告了。

首先要有一个CA根证书,然后用CA根证书来签发用户证书。用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。

openssl中有如下后缀名的文件

  • .key格式:私有的密钥

  • .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写

  • .crt格式:证书文件,certificate的缩写

  • .crl格式:证书吊销列表,Certificate Revocation List的缩写

  • .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式

  • .p12 "或者 “.pfx” : 用于实现存储许多加密对象在一个单独的文件中。通常用它来打包一个私钥及有关的 X.509 证书,或者打包信任链的全部项目。

CA根证书的生成步骤

生成CA私钥(.key)–>生成CA证书请求(.csr)–>自签名得到根证书(.crt)(CA给自已颁发的证书)。

# Generate CA private key (制作ca.key 私钥)
openssl genrsa -out ca.key 2048

# Generate CSR 
openssl req -new -key ca.key -out ca.csr

#OpenSSL创建的自签名证书在chrome端无法信任,需要添加如下
echo "subjectAltName=DNS:rojao.test.com,IP:10.10.2.137" > cert_extensions

# Generate Self Signed certificate(CA 根证书)
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -extfile cert_extensions -out ca.crt

整个提示将如下所示:

OutputCountry Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Rojao, Inc.
Organizational Unit Name (eg, section) []:R&D Department
Common Name (e.g. server FQDN or YOUR name) []:Rojao CA ROOT
Email Address []:ynz@rojao.cn

在实际的软件开发工作中,往往服务器就采用这种自签名的方式,因为毕竟找第三方签名机构是要给钱的,也是需要花时间的。

用户证书的生成步骤

生成私钥(.key)–>生成证书请求(.csr)–>用CA根证书签名得到证书(.crt)

服务器端用户证书

# private key
openssl genrsa -des3 -out server.key 2048 

# generate csr
openssl req -new -key server.key -out server.csr

#OpenSSL创建的自签名证书在chrome端无法信任,需要添加如下
echo "subjectAltName=DNS:rojao.test.com,IP:10.10.2.137" > cert_extensions

# generate certificate
openssl ca -in server.csr -out server.crt  -extfile cert_extensions -cert ca.crt -keyfile ca.key

最重要的一行是Common Name (e.g. server FQDN or YOUR name)那一行。您需要输入与服务器关联的域名,或者是您服务器的公共IP地址。

整个提示将如下所示:

OutputCountry Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Rojao, Inc.
Organizational Unit Name (eg, section) []:R&D Department
Common Name (e.g. server FQDN or YOUR name) []:10.10.2.137
Email Address []:ynz@rojao.cn

假如报错:/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt

解决:创建/etc/pki/CA/index.txt文件

mkdir -p CA/newcerts

touch CA/index.txt

touch CA/serial

echo “01” > CA/serial

客户端用户证书

openssl genrsa -des3 -out client.key 1024 

openssl req -new -key client.key -out client.csr

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

报错:failed to update database
TXT_DB error number 2

删除之前创建的 index.txt serial 文件后重建

证书导出

生成pem格式证书

有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成

cat client.crt client.key> client.pem 

cat server.crt server.key > server.pem

结果:

服务端证书:ca.crt, server.key, server.crt, server.pem
客户端证书:ca.crt, client.key, client.crt, client.pem
生成pfx(p12)格式 证书
openssl pkcs12 -export -in server.crt -out server.p12 -inkey server.key

浏览器导入根证书(window10)

双击根ca.crt导入证书
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

服务端证书配置

nginx配置

修改配置文件nginx.conf

server {
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      /opt/ssl/server.crt;
        ssl_certificate_key  /opt/ssl/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
}
Nginx 配置Http和Https共存
server {
        listen 80 default backlog=2048;
        listen       443 ssl;
        server_name  localhost;

        ssl_certificate      /opt/ssl/server.crt;
        ssl_certificate_key  /opt/ssl/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            root   html;
            index  index.html index.htm;
        }
}
Nginx SSL性能调优
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!eNULL:!NULL:!DH:!EDH:!AESGCM;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;

springboot2

server:
  port: 8443
  ssl:
    key-store: classpath:server.p12
    key-store-password: 123456
    key-store-type: PKCS12
大神,快来碗里
关注
  • 9
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
个人数字ca证书制作步骤
03-30
ca证书制作步骤ca证书制作步骤ca证书制作步骤
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
openssl——解析ssl通信过程的x509证书
jmhIcoding
04-10 1534
首先当然得是想办法把通信过程中(例如libpcap抓包)的x509证书所在的内存起始地址,长度拿下来咯,下面代码可以直接贴上去用。注意如果是libpcap捕获的证书,必须要保证传入的证书必须是完整的(需要考虑证书是否跨IP数据包,是否乱序,如果证书跨包则需要手动重组) #include <openssl\x509.h> #include <openssl\x509v3.h>...
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
大数据开发、JAVA开发、人工智能AI
01-30 1374
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2003
本地使用 openssl 生成证书
openssl生成免费证书
欧阳今朝的博客
06-30 171
一招免费制作ssl 证书
http系列---OpenSSL生成证书CA及签发子证书
热门推荐
lipviolet的博客
11-02 1万+
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA证书,并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: sudo yum install openssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文件openssl.cnf: locate openssl.cnf 如图,我这里的目录是/etc/pki/tls/openssl.cnf。 修改配置文件,修改其中的dir变量,重新设置SSL
使用openssl生成自签CA证书,并用其签发其他证书
﹎际遇 ╭..
11-15 6279
openssl生成自签名ca证书,以及使用ca证书签发中间证书颁发机构,以及签发服务端和客户端证书
跟蜗牛一起创建私钥CA证书申请,颁发
Lcongming的博客
04-26 1561
在操作之前,要明确一点:搭建私有CA是为了给用户颁发证书! 第一步:创建index.txt和serial (如果不存在,会出现报错) touch /etc/pki/CA/index.txt(index 存放证书所有者,颁发者等信息,若无,后续会提示失效) echo 0F > /etc/pki/CA/serial 切换到CA下创建 (centos7和8系统方法一样,以上两个文件颁发前必须要创建好,若没有,后续操作会报错) 这两步必须切换到CA下创建) 第二步:创建CA相关目录和文件 执行:mkdir
nginx+ca+https设置
一名普通码农的菜地
12-15 3400
前言 https加密协议恐怕是没办法避免的了。无论苹果还是微信现在很多地方都要用到https协议。不是的话就不给过。 也是醉了。 好了,说明一下这篇文章是: nginx+ca+https设置【草稿试验版】 中最后试验出来的, 然后大约参考了: 【HTTPS】自签CA证书 &amp;&amp; nginx配置https服务 OpenSSL生成证书对 解决自建ca认证后浏览器警告 用openssl自...
3.制作CA证书
LiuWei
12-30 626
1.产看CA证书配置文件 vim /etc/pki/tls/openssl.cnf 2.准备环境 创建第一个文件命令:touch /etc/pki/CA/index.txt ;这个文件是用来存放认证的认证数据库,如果不创建会在认证的时候报错,这里可以先创建也可以看到报错信息后在创建 创建第二个文件命令:echo 01 > /etc/pki/CA/serial ;这里存放认证起始...
openssl创建CA并签发证书
健忘16的博客
02-16 3550
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
Centos CA自签证书服务器及自签证书配置手册
Q先生
08-11 1635
1 准备工作 1.1 系统版本信息 [08:33:10 root@centos8 ~]#cat /etc/redhat-release CentOS Linux release 8.4.2105 [08:33:26 root@centos8 ~]#openssl version OpenSSL 1.1.1g FIPS 21 Apr 2020 1.2 创建必要的目录和文件 mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} touch /etc/pki/C
openssl生成ca证书和服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
openssl 生成ca证书 pkcs12 pem格式转换
12-03
OpenSSL 生成 CA 证书 PKCS#12 PEM 格式转换 OpenSSL 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持 SSL/TLS 协议的实现。 OpenSSL 工具箱中包含了大量实用的命令和选项,...
OpenSSL 一键生成证书
08-10
openssl进行二次研发封装通过批处理的方式增加“一键生成CA证书”、“一键生成Server证书”、“一键生成Client证书”等工具。方便研发人员快捷的生成所需各种证书
openssl命令基础用法:创建CA和申请证书
qq_40378795的博客
12-10 1156
使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/usr/lib/ssl/openssl.cnf 文件。 修改文件内容 /etc/pki/CA中创建下面文件 第一步:创建为 CA 提供所需的目录及文件 sudo mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} 需要在文件serial中输入01。 echo 01 >> seri..
国密证书的制作
一个致力于开源代码学习、分析和交流的博客
02-22 565
本文描述了国密测试证书的制作方法
如何使用openssl生成ca证书
07-25
要使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令生成一个新的私钥文件(例如ca.key): ```shell openssl genrsa -out ca.key 2048 ``` 这将生成一个2048位的RSA私钥文件。 3. 创建证书请求:使用私钥文件创建证书请求(CSR)。运行以下命令: ```shell openssl req -new -key ca.key -out ca.csr ``` 在运行命令后,你需要提供一些组织和地理位置信息。 4. 自签名证书:使用CSR文件自签名证书。运行以下命令: ```shell openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 这将生成自签名的CA证书文件(例如ca.crt)。 5. 验证证书:你可以使用以下命令验证生成证书: ```shell openssl x509 -in ca.crt -text -noout ``` 这将显示证书的详细信息,包括颁发者、有效期等。 现在你已经成功生成了自签名的CA证书。请注意,这只是一个简单示例,用于了解如何使用OpenSSL生成CA证书。在实际使用中,你可能需要更多的配置和选项来满足你的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值