Rockey Linux下OpenSSL制作自签名CA证书

已于 2023-11-06 12:22:11 修改
阅读量835 收藏 6
点赞数 2
分类专栏: CA证书 文章标签: linux 运维 服务器
于 2023-11-05 21:26:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/csdn_fanhehua/article/details/134224997
版权

一、系统环境

生成工具: OpenSSL 3.0.7 1 Nov 2022 (Library: OpenSSL 3.0.7 1 Nov 2022)

生成系统: Rocky Linux 9.2

web 服务:nginx/1.20.1

文件目录:/opt/certs/  自己创建目录

二、证书生成业务图

三 、生成根证书

生成根证书通过常分为几个步骤生成,生成私钥(.key)–>生成证书请求(.csr)–>用CA根证书签名得到证书(.crt)

2.1生成根证书私钥 

openssl genrsa -des3 -passout pass:123456  -out ca.key 2048

genrsa::使用RSA算法产生私钥
-des3::使用des3的AES算法对私钥进行加密
-passout:私钥密码,注意参数格式pass:123456,没有这个参数,在生成私钥时会提示控制台输入
-out:输出文件的路径
2048:指定私钥长度 

2.2生成根的请求证书

openssl req -passin pass:123456 -new -key ca.key -out ca.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Beijing CSSCA Technologies Co., Ltd./OU=R&D/CN=CSSCA Root Certificate Authority"

req:执行证书签发命令
-passin:私钥的密码,参数格式pass:123456没有这个参数,控制台提示输入
-new:新证书签发请求
-key:指定私钥路径
-out:输出的csr文件的路径
-subj:证书相关的用户信息(subject的缩写)


subj子参数详解:
缩写         翻译                             英文对照
C       国家名称缩写                          Country Name (2 letter code)
ST     州或省名称                              State or Province Name (full name)
L       城市或区域称                           Locality Name (eg, city)
O      组织名(或公司名)                Organization Name (eg, company)
OU    组织单位名称(或部门名)     Organizational Unit Name (eg, section)
CN    服务器域名/证书拥有者名称    Common Name (e.g. server FQDN or YOUR name)
emailAddress    邮件地址                 Email

2.3 自签名根证书

2.3.1创建配置文件

ca.ext是扩展的配置信息,这个很重要

[root@localhost certs]# touch ca.ext
[root@localhost certs]# echo  -e "[ v3_ca ] \nsubjectKeyIdentifier=hash\nauthorityKeyIdentifier=keyid:always,issuer\nbasicConstraints = critical,CA:true" > ca.ext
[root@localhost certs]# cat ca.ext 
[ v3_ca ] 
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true
[root@localhost certs]#

 2.3.2 创建证书

ca要给自己签发证书

openssl x509 -req -passin pass:123456 -days 3650 -sha256 -extfile ca.ext  -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt

x509:生成x509格式证书
-req:输入csr文件
-passin:私钥的密码,参数格式pass:123456没有这个参数,控制台提示输入
-days:证书的有效期(天)
-sha256:证书摘要采用sha256算法
-extfile: 扩展的文件配置
-extensions:扩展文件中配置的v3_ca项添加扩展
-signkey:签发证书的私钥
-in:要输入的csr文件
-out:输出的cer证书文件
(1)创建非根证书指定 -extensions v3_req,表示,在openssl.cnf中v3_req扩展属性为: 
    basicConstraints = CA:FALSE。
(2)创建根证书时,指定了-extensions v3_ca,basicConstraints = critical,CA:true 

2.4 查看根证书

证书是否有下面这个配置项

        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                27:F7:F9:AA:6D:F2:F2:25:3B:CA:1D:B3:82:98:99:BF:7D:C7:7C:46
            X509v3 Authority Key Identifier: 
                27:F7:F9:AA:6D:F2:F2:25:3B:CA:1D:B3:82:98:99:BF:7D:C7:7C:46
            X509v3 Basic Constraints: critical
                CA:TRUE

[root@localhost certs]# openssl x509 -text -in ca.crt -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            73:c3:98:5d:fc:64:12:77:c6:16:95:e9:78:1b:8a:17:e1:f8:20:87
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = CN, ST = Beijing, L = Beijing, O = "Beijing CSSCA Technologies Co., Ltd.", OU = R&D, CN = CSSCA Root Certificate Authority
        Validity
            Not Before: Nov  5 02:44:18 2023 GMT
            Not After : Nov  2 02:44:18 2033 GMT
        Subject: C = CN, ST = Beijing, L = Beijing, O = "Beijing CSSCA Technologies Co., Ltd.", OU = R&D, CN = CSSCA Root Certificate Authority
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:f3:ad:94:d1:0c:a6:5b:26:62:93:b2:a3:01:e7:
                    32:d3:72:78:52:15:62:d2:be:26:f8:d3:83:5d:b0:
                    33:6d:56:57:c0:06:d1:f5:35:bc:a6:d9:c9:75:20:
                    03:88:47:87:64:13:64:a0:3c:bc:d2:6e:43:12:0f:
                    5b:ff:06:fe:39:c7:af:bd:47:66:87:97:9f:77:19:
                    64:ca:2e:16:f1:aa:4d:87:a2:aa:17:f7:af:bb:76:
                    c1:e1:2d:59:3f:c7:0d:a5:85:c6:7b:86:04:5e:da:
                    68:8b:36:8a:b3:78:b5:cf:25:98:c2:d9:56:aa:3a:
                    f0:be:a0:32:bf:6b:17:47:f4:46:6c:ac:e1:ce:b1:
                    bf:8c:3e:73:97:95:91:76:ed:13:c0:f8:43:45:4c:
                    b1:39:ae:73:e6:69:c6:96:98:9c:b6:71:de:b2:23:
                    8a:de:7e:80:27:fc:ea:62:45:96:b1:88:1c:e2:b0:
                    5e:85:42:41:e8:4c:65:f9:07:58:9c:cc:60:cc:69:
                    7e:18:87:ce:dd:d5:39:bb:6a:5b:46:f8:65:4d:ec:
                    b6:b4:68:03:0d:61:2b:74:a8:d2:dd:19:94:21:f1:
                    ec:89:24:21:a6:44:58:ff:e2:fb:a9:90:51:a3:d1:
                    03:0a:e4:97:06:2b:01:1e:a8:38:9d:c4:08:d4:d7:
                    a5:0f
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                27:F7:F9:AA:6D:F2:F2:25:3B:CA:1D:B3:82:98:99:BF:7D:C7:7C:46
            X509v3 Authority Key Identifier: 
                27:F7:F9:AA:6D:F2:F2:25:3B:CA:1D:B3:82:98:99:BF:7D:C7:7C:46
            X509v3 Basic Constraints: critical
                CA:TRUE
    Signature Algorithm: sha256WithRSAEncryption
    Signature Value:
        9f:0c:00:d2:1d:0a:c3:5a:5c:16:f7:3f:67:14:db:5f:28:df:
        21:2f:98:eb:a3:52:41:d3:35:17:4f:3a:cd:ec:40:5b:04:7b:
        93:c0:65:1b:0f:a0:d5:fa:b5:05:e7:f8:4b:17:c5:b2:b0:3b:
        48:03:34:ae:2e:5c:7a:96:d3:ff:50:ea:2f:82:aa:3a:79:3b:
        bf:ec:57:61:3c:a9:b4:2d:42:85:dd:2f:b6:9a:92:0c:72:ac:
        05:6a:32:30:cb:d6:f0:a1:77:79:4d:7c:0b:06:5c:4d:ae:6a:
        08:88:34:76:be:d5:2f:61:83:e3:6a:4f:d4:7d:f7:84:11:ad:
        de:e1:00:75:31:42:66:04:47:73:a6:30:d7:0a:90:b4:e5:37:
        a8:3b:8e:c4:a2:8f:39:ce:32:94:33:aa:08:89:24:19:0a:f0:
        57:ca:5d:31:8f:74:7a:c1:91:49:60:4f:36:f7:b6:02:5c:7a:
        f6:c2:36:93:d4:a1:56:38:b3:70:b7:09:d6:02:c9:89:b5:0d:
        ae:67:93:a6:4f:1b:5e:01:87:d0:7d:54:86:91:d1:1b:db:80:
        76:5d:05:24:7a:eb:9d:74:70:a6:87:d0:40:3a:46:5a:50:72:
        0d:63:80:aa:8d:8e:34:72:40:87:a6:8c:5b:2e:58:08:51:e5:
        00:23:a3:9d

 四、服务器证书生成

生成根证书通过常分为几个步骤生成,生成私钥(.key)–>生成证书请求(.csr)–>用CA私钥+CA根证书签名得到证书(.crt)

3.1 生成服务器私钥

openssl genrsa -des3 -passout pass:123456  -out server.key 2048

3.2 生成证书请求文件

openssl req -passin pass:123456 -new -key server.key -out server.csr -subj "/C=CN/L=Shanghai/O=Shanghai/OU=R&D/CN=fhh"

3.3 生成服务证签名证书

3.3.1 创建配置文件

创建扩展文件server.ext,添加配置项目,这个很重要,特别是域名配置

touch server.ext && \
echo -e "[ v3_server ]\nbasicConstraints = CA:FALSE\nkeyUsage = nonRepudiation, digitalSignature, keyEncipherment\nsubjectAltName = @alt_names\n\n[alt_names]\nDNS.1 = *.fhh.cn\nDNS.2 = fhh.cn" > server.ext &&\
cat server.ext

3.3.2 创建序列号文件并设置序号

需要创建一个文件serial,用来保存生成证书序号,从00开始,在签名时要配置项目-CAserial serial 

touch serial && echo 00 > serial

3.3.3 服务器证书签名

服务器签名

openssl x509 -req -passin pass:123456 -extfile server.ext -extensions v3_server -days 3650 -sha256 -CA ca.crt -CAkey ca.key -CAserial serial -in server.csr -out server.crt

3.3.4 用根证书验证签名的服务器证书

openssl verify -CAfile ca.crt server.crt

3.3.5 服务证书转pfx

Tomca配置是pfx格式,所以生成的证书要转换下,生成时需要输入pfx密码

openssl pkcs12 -export -passin pass:123456 -in server.crt -inkey server.key -out server.pfx

3.3.6 服务器私钥脱密

因为Nginx配置server.key 不能是带密码

openssl rsa -in server.key -out server.key.unsecure 

五、配置Nginx

 六、配置域名

在C:\Windows\System32\drivers\etc\hosts进行配置

七、浏览器导入证书

把ca.crt证书导入到系统中

 

 八、访问浏览器

fhh.cnicon-default.png?t=N7T8https://fhh.cn/

政和白茶城欢迎你
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何利用linux自带的openssl工具生成自签名证书
xlfc12138的博客
06-10 851
需求:通过自签名CA证书,模拟CA机构签发服务端证书和客户端证书,为设备提供双向认证功能。 通过证书签发过程,更好的理解证书认证的相关知识
Rockey LinuxOpenSSL制作签名CA证书应用
最新发布
07-13
Rockey LinuxOpenSSL制作签名CA证书应用
Windows下创建OpenSSL自签证书及将Windows已有证书pfx文件转化成key、crt文件
暂时先用这个名字
05-31 2463
一、在windows下生成OpenSSL自签证书 准备 编译好的OpenSSL下载地址: http://slproweb.com/products/Win32OpenSSL.html 此文下载的是64位的:Win64 OpenSSL v1.1.1k.EXE 安装openssl到E盘,路径为:E:\openssl 打开cmd.exe, cd到E:\openssl\bin下面: 首先,生成服务器端的私钥(key文件): 执行代码 openssl genrsa -des3 -out root
Linux使用OpenSSL生成CA证书
qq_43813351的博客
04-19 3303
Linux快速生成CA证书(只要五行命令)
Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8522
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
linux系统添加根证书
weixin_49319422的博客
03-02 6328
1.报错如下 将证书添加到信任列表 下载证书,需要在对应网址获取证书 在liunx中将根证书和二级证书需要添加到 linux 证书信任列表 #转换格式 .cer 到 .pem openssl x509 -inform der -in twca.cer -out twca.pem openssl x509 -inform der -in twca-2.cer -out twca-2.pem #追加到信任列表 cat twca.pem >> /etc/pki/tls/certs/ca-
linux 下生成ssl自签证书, 并配置nginx通过https访问
wgq2020的博客
10-19 1345
将“yourdomain.com”替换为你要使用的域名,“/path/to/yourdomain.crt”和“/path/to/yourdomain.key”分别替换为你的 SSL 证书和私钥文件的路径。请确保在浏览器中使用 https://yourdomain.com 访问你的网站,以验证 SSL 证书是否正常工作。在 Linux 系统中,可以使用 OpenSSL 工具来创建自签名 SSL 证书,并使用 Nginx 服务器配置 HTTPS 访问。生成私钥后,需要为 SSL 证书创建签名请求(CSR)。
【vSphere 8 自签名 VMCA 证书】企业 CA 签名证书替换 vSphere VMCA CA 证书Ⅰ—— 生成 CSR
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-22 817
本篇博文主要描述了如何在 vCenter Server 系统中使用实用工具 certificate-manager 为 VMCA 生成自签名证书需要的证书签名请求 CSR 和 Key。适用的 vSphere 版本为 vSphere 7.0.x 和 vSphere 8.0.x
通过openSSL生成自签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
飞天诚信Rockey-ARM在Linux下的驱动安装包
12-23
飞天诚信Rockey-ARM驱动在Linux环境下的安装与使用详解 飞天诚信是一家知名的数字版权保护解决方案提供商,其Rockey-ARM加密狗是专为基于ARM架构的Linux系统设计的硬件安全模块。该驱动安装包是为了解决在Linux操作...
Rockey2加密狗自动后台静默获取数据保存
11-05
2. **后台静默读取**:软件能在用户无感知的情况下,即不弹出任何窗口或提示信息,自动读取加密狗的数据。这种设计提高了用户体验,避免了操作打断用户的正常工作流程。 3. **加密狗数据读取**:Rockey2加密狗内部...
Linux下用Openssl生成证书
03-12
openssl签发ssl x.509证书 建立根证书: 制做服务器端的证书并用ca签名: 生成crt格式 生成cer格式
R2_SDK_Linux_rockey2_
10-03
rockey2 linux dog sdk
Rockey2自动读取工具2010
03-05
Rockey2自动读取工具2010》是一款专为Rockey2加密狗设计的自动化读取软件,主要用于帮助用户高效、便捷地从Rockey2加密设备中获取数据。这款工具在2010年发布,对于当时的IT开发者和系统管理员来说,是一款不可或...
利用OpenSSL实现私有 CA 搭建和证书颁发
写Bug的小白的博客
08-13 889
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件。
openssl创建CA并签发证书
健忘16的博客
02-16 3614
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
OpenSSL生成CA签名证书和颁发证书
FLY的博客
08-05 6305
openssl ca
转:Linux openssl 生成证书的详解
zfr_xuexiao66的博客
09-10 1292
本文转载自:https://blog.csdn.net/qq_15092079/article/details/82149807 感谢作者的付出。 Linux openssl 生成证书的详解 叶梦_ 2018-08-28 20:55:03 33609 已收藏 38 分类专栏: openssl 版权 目录 前言 1 概念 2 环境 3 创建根证书CA 4 颁发证书 4.1 在需要证书服务器上,生成证书签署请求 4.2 在根证书服务器上,颁发证书 5 测试 5.1
LINUX安装openssl
xing
11-30 5961
openssl
rockey linux修改ssh端口
05-05
要修改Rocky Linux上SSH的端口,可以按照以下步骤进行操作: 1. 以root用户身份登录到Rocky Linux系统中。 2. 打开SSH配置文件 /etc/ssh/sshd_config,使用文本编辑器打开该文件。 3. 找到以下行: ``` #Port 22 ``` 去掉行首的#号,并将22改为你想要的端口号,比如: ``` Port 2222 ``` 4. 保存文件并退出编辑器。 5. 重启SSH服务,使修改生效: ``` systemctl restart sshd ``` 6. 如果你的Rocky Linux系统开启了防火墙,需要将修改后的端口添加到防火墙的允许列表中,比如: ``` firewall-cmd --add-port=2222/tcp --permanent ``` 这样,你就成功地将SSH的端口号修改为2222。以后,你需要使用SSH连接到Rocky Linux系统时,就需要使用新的端口号。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值