OpenSSL制作自签名CA证书

最新推荐文章于 2024-08-09 17:40:30 发布
最新推荐文章于 2024-08-09 17:40:30 发布
阅读量1.8k 收藏 4
点赞数 3
分类专栏: CA证书 文章标签: ssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_fanhehua/article/details/108826473
版权

                                                                   

一、自签名证书生成环境

生成工具: openssl(OpenSSL 1.1.1f)

生成系统:ubuntu(Ubuntu 9.3.0-10ubuntu2)

测试工具: curl(curl 7.68.0)

 

二、准备系统环境:

#进入用户目录
fhh@ubuntu:~$ cd /home/fhh/
fhh@ubuntu:~$ pwd
/home/fhh

#创建相关文件夹keys、demoCA、newcerts
fhh@ubuntu:~$ mkdir -p ./keys/demoCA/newcerts

#安装tree组件用来查看目录
fhh@ubuntu:~$ sudo apt install tree
[sudo] password for fhh: 
Reading package lists... Done
Building dependency tree       
Reading state information... Done
The following NEW packages will be installed:
  tree
0 upgraded, 1 newly installed, 0 to remove and 251 not upgraded.
Need to get 43.0 kB of archives.
After this operation, 115 kB of additional disk space will be used.
Get:1 http://us.archive.ubuntu.com/ubuntu focal/universe amd64 tree amd64 1.8.0-1 [43.0 kB]
Fetched 43.0 kB in 1s (45.2 kB/s)
Selecting previously unselected package tree.
(Reading database ... 183583 files and directories currently installed.)
Preparing to unpack .../tree_1.8.0-1_amd64.deb ...
Unpacking tree (1.8.0-1) ...
Setting up tree (1.8.0-1) ...
Processing triggers for man-db (2.9.1-1) ...

#查看创建的目录结构
fhh@ubuntu:~$ tree
.
├── Desktop
├── Documents
├── Downloads
├── keys
│   └── demoCA
│       └── newcerts
├── Music
├── Pictures
├── Public
├── Templates
└── Videos

11 directories, 0 files

#创建index.txt、serial文件
fhh@ubuntu:~$ touch ./keys/demoCA/index.txt ./keys/demoCA/serial

#查看创建的文件
fhh@ubuntu:~$ tree
.
├── Desktop
├── Documents
├── Downloads
├── keys
│   └── demoCA
│       ├── index.txt
│       ├── newcerts
│       └── serial
├── Music
├── Pictures
├── Public
├── Templates
└── Videos

11 directories, 2 files

#将00写入到文件serial
fhh@ubuntu:~$ echo 00 > ./keys/demoCA/serial

#查看写入的内容
fhh@ubuntu:~$ cat ./keys/demoCA/serial 
00

#修改ssl配置文件openssl.cnf
#查找openssl.con 不同的系统位置不一样
fhh@ubuntu:~$ openssl version -a
OpenSSL 1.1.1f  31 Mar 2020
built on: Mon Apr 20 11:53:50 2020 UTC
platform: debian-amd64
options:  bn(64,64) rc4(16x,int) des(int) blowfish(ptr) 
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 -fdebug-prefix-map=/build/openssl-P_ODHM/openssl-1.1.1f=. -fstack-protector-strong -Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG -Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific
#本系统openssl.cnf的目录是 /usr/lib/ssl

#修改openssl.cnf,把match 改为supplied
fhh@ubuntu:~$ vi /usr/lib/ssl/openssl.cnf 
# For the CA policy
[ policy_match ]
countryName		= supplied  #match
stateOrProvinceName	= supplied  #match
organizationName	= supplied  #match

 

三、CA证书生成:

#进入keys目录
fhh@ubuntu:~/keys$ cd /home/fhh/keys/
fhh@ubuntu:~/keys$ pwd
/home/fhh/keys

#生成CA私钥,密码设置为123456
fhh@ubuntu:~$ openssl genrsa -des3 -out ca.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
.................................+++++
........................................+++++
e is 65537 (0x010001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:

#签发CA根证书,密码123456
fhh@ubuntu:~/keys$ openssl req -sha256 -new -x509 -days 365 -key ca.key -out ca.crt \-subj "/C=CN/ST=Beijing/L=Beijing/O=Beijing CSSCA Technologies Co., Ltd./OU=Government affairs program development department/CN=CSSCA Root Certificate Authority"
Enter pass phrase for ca.key:

 

四、服务器证书生成:

#进入keys目录
fhh@ubuntu:~/keys$ cd /home/fhh/keys/
fhh@ubuntu:~/keys$ pwd
/home/fhh/keys

#服务器私钥生成
fhh@ubuntu:~/keys$ openssl genrsa -des3 -out server.key 2048
Generating RSA private key, 2048 bit long modulus (2 primes)
..............................+++++
......................................+++++
e is 65537 (0x010001)
Enter pass phrase for server.key:
Verifying - Enter pass phrase for server.key:

#服务器生成请求证书crs生成,注意cat /usr/lib/ssl/openssl.cnf 路径, 密码123456
 openssl req -new \
    -sha256 \
    -key server.key \
    -subj "/C=NA/ST=WINDHOEK/L=WINDHOEK/O=MHAI/OU=MHAI/CN=acs.mhai.gov.na" \
    -reqexts SAN \
    -config <(cat /usr/lib/ssl/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:*.acs.mhai.gov.na,DNS:acs.mhai.gov.na")) \
    -out server.csr

fhh@ubuntu:~/keys$  openssl req -new \
>     -sha256 \
>     -key server.key \
>     -subj "/C=NA/ST=WINDHOEK/L=WINDHOEK/O=MHAI/OU=MHAI/CN=acs.mhai.gov.na" \
>     -reqexts SAN \
>     -config <(cat /usr/lib/ssl/openssl.cnf \
>         <(printf "[SAN]\nsubjectAltName=DNS:*.acs.mhai.gov.na,DNS:acs.mhai.gov.na")) \
>     -out server.csr
Enter pass phrase for server.key:

五、CA签发服务器证书

#进入keys目录
fhh@ubuntu:~/keys$ cd /home/fhh/keys/
fhh@ubuntu:~/keys$ pwd
/home/fhh/keys

#CA签发发服务器证书 密码123456
 openssl ca -in server.csr \
        -md sha256 \
        -keyfile ca.key \
    -cert ca.crt \
    -extensions SAN \
    -config <(cat /usr/lib/ssl/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:*.acs.mhai.gov.na,DNS:acs.mhai.gov.na")) \
    -out server.crt

fhh@ubuntu:~/keys$ openssl ca -in server.csr \
>         -md sha256 \
>         -keyfile ca.key \
>     -cert ca.crt \
>     -extensions SAN \
>     -config <(cat /usr/lib/ssl/openssl.cnf \
>         <(printf "[SAN]\nsubjectAltName=DNS:*.acs.mhai.gov.na,DNS:acs.mhai.gov.na")) \
>     -out server.crt
Using configuration from /dev/fd/63
Enter pass phrase for ca.key:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 0 (0x0)
        Validity
            Not Before: Sep 27 06:46:21 2020 GMT
            Not After : Sep 27 06:46:21 2021 GMT
        Subject:
            countryName               = NA
            stateOrProvinceName       = WINDHOEK
            organizationName          = MHAI
            organizationalUnitName    = MHAI
            commonName                = acs.mhai.gov.na
        X509v3 extensions:
            X509v3 Subject Alternative Name: 
                DNS:*.acs.mhai.gov.na, DNS:acs.mhai.gov.na
Certificate is to be certified until Sep 27 06:46:21 2021 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated

 

六、生成应用服务器p12证书

#进入keys目录
fhh@ubuntu:~/keys$ cd /home/fhh/keys/
fhh@ubuntu:~/keys$ pwd
/home/fhh/keys

#生成服务器应用p12证书,三次密码都是123456
fhh@ubuntu:~/keys$ openssl pkcs12 -export -in server.crt -inkey server.key -out server.pkcs12
Enter pass phrase for server.key:
Enter Export Password:
Verifying - Enter Export Password:

 

七、SpringBoot配置:

1、把server.pkcs12拷贝到工程source目录下

2、修改application.yml配置文件
server:
  port: 443
  session-timeout: 0 #Session 超时设置,单位分(0或者-1表示永不超时)
  #HTTS相关配置
  ssl:
    key-store: classpath:server.pkcs12
    enabled: true
    key-store-type: PKCS12
    key-store-password: 123456

八、curl测试

#配置hosts,增加acs.mhai.gov.na域名
fhh@ubuntu:~/keys$ sudo vim /etc/hosts

127.0.0.1       localhost
127.0.1.1       ubuntu
10.10.2.200     acs.mhai.gov.na

#测试连接,ca.crt是CA的根证书
fhh@ubuntu:~/keys$ curl -v --cacert ca.crt https://acs.mhai.gov.na
*   Trying 10.10.2.200:443...
* TCP_NODELAY set
* Connected to acs.mhai.gov.na (10.10.2.200) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
*   CAfile: ca.crt
  CApath: /etc/ssl/certs
* TLSv1.3 (OUT), TLS handshake, Client hello (1):
* TLSv1.3 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES256-GCM-SHA384
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: C=NA; ST=WINDHOEK; O=MHAI; OU=MHAI; CN=acs.mhai.gov.na
*  start date: Sep 27 06:46:21 2020 GMT
*  expire date: Sep 27 06:46:21 2021 GMT
*  subjectAltName: host "acs.mhai.gov.na" matched cert's "acs.mhai.gov.na"
*  issuer: C=CN; ST=Beijing; L=Beijing; O=Beijing CSSCA Technologies Co., Ltd.; OU=Government affairs program development department; CN=CSSCA Root Certificate Authority
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: acs.mhai.gov.na
> User-Agent: curl/7.68.0
> Accept: */*
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 
< Content-Type: text/plain;charset=UTF-8
< Content-Length: 92
< Date: Sun, 27 Sep 2020 06:57:25 GMT
< 
* Connection #0 to host acs.mhai.gov.na left intact
<div style='margin-top:50px;font-size:50px;text-align:center'>Welcome to the mhai api!</div>fhh@ubuntu:~/keys$

   九、浏览器测试

         1、双击ca.crt证书进入安装证书业面

 

   2、浏览器访问

       

政和白茶城欢迎你
关注
专栏目录
Rockey Linux下OpenSSL制作签名CA证书
weixin_41687096的博客
07-13 115
Rockey Linux下OpenSSL制作签名CA证书应用
openssl签名CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1622
openssl签名CA证书、服务端和客户端证书生成并模拟单向/双向证书验证
国密curl的用法指南
Geor_ge_的博客
07-20 1746
国密curl 的使用
【spring boot】配置ssl证书实现https
热门推荐
arctan90的专栏
01-07 2万+
【前言】这里是spring boot配置ssl证书的全过程
CA证书openssl介绍
最新发布
xiaogengtongxu的博客
08-09 1067
SSL (Secure Sockets Layer) 和 TLS (Transport Layer Security) 是两种用于在网络通信中提供安全性和隐私的加密协议。它们的主要目的是确保数据在互联网上传输时的保密性、完整性和身份验证。历史:SSL 由 Netscape 在 1990 年代初期开发。版本:SSL 有 1.0、2.0 和 3.0 三个版本。现状:所有 SSL 版本现在都被认为是不安全的,已被废弃。
openssl生成自签名证书
m0_61747530的博客
06-05 1719
openssl生成自签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
openssl 制作证书
zhangxiaoming168的博客
09-04 167
一.生成证书 首先要生成服务器端的私钥(key文件): [code="java"]openssl genrsa -des3 -out server.key 1024[/code] 运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果...
springboot 启动https安全及证书生成
Arber的博客
09-10 531
找了好久的证书生成网站
springboot服务端配置SSL双向认证
weixin_40480931的博客
01-11 1819
springboot服务端配置SSL双向认证
openssl如何制作签名CA证书,及利用CA签发证书
honey,honey,honey!
01-28 9390
openssl如何制作签名CA证书,及利用CA签发证书生成服务器证书及私钥(key)openssl genrsa -des3 -out server.key 1024 去掉key口令openssl rsa -in server.key -out server.key 生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书opens
openssl使用自定义CA签名证书
lotuswhl的博客
07-24 1836
使用Openssl生成CA证书并使用CA证书对自己网站的证书签名的过程以下是我在查询相关数据资料时根据自己的实践的成功案例。网上的问题很多,这里留存一份自己成功的案例备用。1、下载带有openSSL的apache安装包,我下载的为apache_2.2.11-win32-x86-openssl-0.9.8i.msi,安装后确认一下bin路径下的openssl.exe,ssleay32.dll和lib
Rockey Linux下OpenSSL制作签名CA证书应用
07-13
### Rocky Linux下OpenSSL制作签名CA证书应用 在当今高度数字化的世界中,网络安全变得尤为重要。其中,证书的使用是确保网络通信安全的关键之一。本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自...
Nginx配置SSL签名证书的方法
09-30
签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL签名证书。 首先,我们...
openssl签名ca证书,以及签发服务端/客户端证书
bglmmz的专栏
10-26 2782
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。 1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行: echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-
在Spring Boot中配置ssl证书实现https
shaoshaoshaoshaosho的博客
01-21 3758
在实际项目开发过程中,使用 http 是不安全的,所以很多时候我们要用到 https。https 是以安全为目标的 http 通道,而 https 的安全基础是 SSL。 我在使用 SSL 的过程中,使用了实际的证书,踩了一些坑,鉴于网上的很多教程的ssl 都是使用的 java 自带的 keytool 命令来生成的,但是对实际证书的使用方法涉及的并不多,所以将我使用过程中的一些步骤记录下来,一是让...
springboot+rabbitmq+openssl
Mr.Right的博客
05-14 3377
一.openssl相关知识简介 1.对称加密和非对称加密 对称加密很好理解,就是用密码加密一个文件,解密时需要用相同的密码来解析;而非对称加密则是用一个密码加密,但是用与加密密码不同的密码解密。 2.公钥、私钥和签名、验证签名。 私钥和公钥都可以进行加密和解密。公钥加密数据,私钥解密数据的过程称为加密解密,公钥加密的数据只有它相应的私钥才能解开,所以将公钥分给其他人,让其把数据加密,该数...
数字证书CA介绍
whatday的专栏
02-21 5850
1. 证书 "证书 -- 为公钥加上数字签名" 要开车得先考驾照.驾照上面记有本人的照片、姓名、出生日期等个人信息.以及有效期、准驾车辆的类型等信息,并由公安局在上面盖章。我们只要看到驾照,就可以知道公安局认定此人具有驾驶车辆的资格。 公钥证书(Public-Key Certificate,PKC)其实和驾照很相似,里面记有姓名、组织、邮箱地址等个人信息,以及属于此人的公钥,并由认证机构...
python3 ssl,python3和请求:仍然出现“ sslv3警报握手失败”
weixin_39840606的博客
01-14 1347
I have been trying to perform an HTTPS request in Python 3 using requests and aggregating pretty much all the knowledge from the prior attempts documented on StackOverflow. I cannot for the life of me...
跳出ping++开发中API请求异常问题
weixin_34306593的博客
04-17 431
近期在做微信支付那方面的工作,由于要在之前开发人员的基础上进行开发,其中使用到了ping++这个第3方支付的SDK。不得不说,ping++的SDK做的挺简单的,但是其文档真心写的有点坑。不过相对其他的接入,坑少了那么一些。 下面梳理下正常开发的流程,请点击下面的链接付款。 可以看到主要有5个步骤: 设置 API-Key SDK ...
签名证书 openssl nginx
09-14
Windows自签名证书制作步骤如下: 1. 首先,您需要下载并安装OpenSSL工具。您可以使用版本为0.9.8k的openssl-0.9.8k_WIN32工具。 2. 解压下载的OpenSSL工具,并根据参考文件中的指导进行设置和配置。 3. 打开...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值