OpenSSL创建带SAN扩展的证书并进行CA自签

最新推荐文章于 2024-09-01 07:31:07 发布
最新推荐文章于 2024-09-01 07:31:07 发布
阅读量1.3w 收藏 17
点赞数 2
分类专栏: java SE java EE 文章标签: ssl openssl ca netty4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dotalee/article/details/78041691
版权
本文介绍了如何使用OpenSSL创建带有Subject Alternative Name (SAN)扩展的SSL证书,并进行CA自签署。SAN允许一个证书支持多个不同的域名,简化了证书管理。遵循步骤,包括生成CA密钥、服务器密钥和证书请求文件,然后使用CA签署服务器证书。注意,哈希算法应使用sha256而非sha1,以避免浏览器提示不安全。此外,对于在netty中使用SSL协议的情况,需要将私钥转换为PKCS8格式。
摘要由CSDN通过智能技术生成

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书

image.png
发现的确是用的前面的百度证书

image.png
所以SAN带来的好处就可以看出来了,一个证书可以用在各种不同的域名下,不需要一个域名买一个证书了。

利用OpenSSL创建证书

因为是本地环境,直接用OpenSSL给自己颁发一个CA根证书用于后面给服务器做CA签署。
1. 生成CA密钥

openssl genrsa -des3 -out ca.key 2048
  1. 生成CA根证书
openssl req -sha256 -new -x509 -days 365 -key ca.key -out ca.crt \
    -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=study/CN=testRoot"
  1. 生成服务器密钥
最低0.47元/天 解锁文章
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9168
为什么80%的码农都做不了架构师?>>> ...
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 4759
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本扩展属性的证书 req_extensions = ...
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1511
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
使用 OpenSSL 创建自签证书
最新发布
qq_44912603的博客
09-01 1764
ssl
openss CA签署扩展字段的证书
kunyus的博客
02-21 1137
生成签署请求 openssl req -new -key ../ca.key -out metrics-server.csr -reqexts SAN -extensions SAN -subj "/C=CN/ST=Guang'dong/L=Sheng'zhen/O=Kubernetes/OU=dev/CN=metrics-server.k8s.com" -config <(cat /etc...
使用openssl生成SAN证书
Arvin
08-12 2674
使用openssl生成SAN证书
OpenSSL使用示例创建自签证书Linux
玖拾说架构
03-31 792
在本文中,我将与openssl分享在Linux中创建自签证书的步骤。 在Linux中创建自签证书所需的步骤 生成自签证书的步骤包括: 生成私钥 server.key 创建证书签名请求(CSR)server.csr 签署证书签名请求并生成自签证书server.crt 安装openssl 在RHEL / CentOS 7/8上,您可以分别使用yum / dnf,而在Ubuntu上,则可以apt-get用于安装openssl rpm [root @ centos8-1〜]#yum -y install
Linux中Nginx添加自签证书TLS的方法
09-15
7. `<(cat ...)`:用管道创建临时的openssl配置,添加SAN扩展,包含DNS:test.com,表示证书适用于test.com域名。 8. `-sha256`:使用SHA256散列算法。 9. `-days 3650`:证书的有效期为3650天。 创建完成后,你可以...
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 912
使用openssl为harbor制作证书
使用OpenSSL生成多域名自签证书
fansys的博客
04-12 2451
使用OpenSSL生成多域名自签证书 证书生成过程介绍 证书的目的是建立特定密钥对与特定实体之间的联系。 自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书证书的申请人和签发人都是同一个。 需要一对密钥对; 常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不能用DSA,只能用RSA,因为DSA不能加解密也不能做密钥交换,只能做签名;ECDSA还没有被大部分的CA支持; 证书认证请求文件(csr文件) 这是按照一定格式生成的文件,里面包含实体信息 将
OpenSSL生成自签证书
weixin_35753964的博客
12-20 449
这里介绍两种方法生成自签证书 第一种方式 通过openssl生成私钥 openssl genrsa -out server.key 1024 使用私钥生成自签名的cert证书文件,以下是通过参数只定证书需要的信息 openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"
SAN的自建HTTPS
weixin_43426254的博客
12-14 456
本文应用场景:使用OPENSSL自建HTTPS,并配置Apache2(信息安全实践课) 在高版本的浏览器中,使用HTTPS,浏览器需要检查SAN(Subject Alternative Name) ,配置时如果只有CN(CommonName)是不够的,会有如下警告,打开浏览器的控制面板中的Security,会发现提示去缺少SAN,解决方法就是按照如下的方式配置,其他博客步骤中做一点点小小的改动即可。
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 686
使用openssl生成SAN证书 多个注意点
【HTTPS】使用OpenSSL生成有SubjectAltName的自签证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
openssl 生成签名和增加多DNS支持
ssj901217的博客
04-20 3146
1. 做为CA机构生成自签名 1.1. 生成RSA私钥      openssl genrsa -out ca_rsa_private.key 2048   1.2 生成自签证书 openssl req -new -x509 -days 365 -key ca_rsa_private.key -out ca_cert.crt   1.3 把自签名给客户端做为根证书   ...
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1614
首先,找到openssl软件自openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
在大型电商网站中哪些SSL证书比较适合
10-26 255
大型电商涉及的资金往来比较多,DV SSL证书已经不太适合,OV SSL证书和EV SSL证书的安全等级比DV SSL证书要高很多,是比较适合大型电商类的网站。其中Digicert和GlobalSign这两个SSL证书品牌是比较不错的选择。 Digicert和GlobalSign都比较侧重于中高端市场,主要投入在OV SSL证书和EV SSL证书中,而这两款SSL证书也是大型电商比较常用的。 这两个SSL证书品牌都是成立时间比较久的SSL证书品牌,旗下还有许多子品牌SSL证书,在国际上的知名度也比较
错误解决:No subject alternative DNS name matching xxx
m0_55615432的博客
05-20 2485
我们想要解决错误,首先需要了解这是一个什么样的错。所以网上看了一些关于证书的消息可以看出 Subject Alternative name 是用来定义多个域名、ip地址等,实现一个证书认证多个地址多个域名。参考图片如下:所以我们之前报的错,问题就在于 证书中的 DNS name 字段无法匹配 报错中的网址(也就是我打了马赛克的部分)知道了问题,我们就可以开始着手解决它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值