OpenSSL创建带SAN扩展的证书并进行CA自签

最新推荐文章于 2024-03-14 14:37:50 发布
最新推荐文章于 2024-03-14 14:37:50 发布
阅读量1.3w 收藏 17
点赞数 2
分类专栏: java SE java EE 文章标签: ssl openssl ca netty4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dotalee/article/details/78041691
版权

什么是 SAN

SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。

来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书

image.png
发现的确是用的前面的百度证书

image.png
所以SAN带来的好处就可以看出来了,一个证书可以用在各种不同的域名下,不需要一个域名买一个证书了。

利用OpenSSL创建证书

因为是本地环境,直接用OpenSSL给自己颁发一个CA根证书用于后面给服务器做CA签署。
1. 生成CA密钥

openssl genrsa -des3 -out ca.key 2048
  1. 生成CA根证书
openssl req -sha256 -new -x509 -days 365 -key ca.key -out ca.crt \
    -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=study/CN=testRoot"
  1. 生成服务器密钥
openssl genrsa -des3 -out server.key 2048
  1. 生成服务器证书请求文件
openssl req -new \
    -sha256 \
    -key server.key \
    -subj "/C=CN/ST=GD/L=SZ/O=lee/OU=study/CN=bdstatic.com" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:*.bdstatic.com,DNS:*.baidu.com")) \
    -out server.csr

5.CA签署服务器证书

openssl ca -in server.csr \
        -md sha256 \
        -keyfile ca.key \
    -cert ca.crt \
    -extensions SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "[SAN]\nsubjectAltName=DNS:*.bdstatic.com,DNS:*.baidu.com")) \
    -out server.crt

之后把生成好的服务器证书和服务器密钥在服务器(ngnix,tomcat)里配置好,并且把ca.crt证书导入到浏览器的受信任的根证书颁发机构里,在浏览器访问就不会有红叉叉了。

image.png

image.png

注意事项

  1. -subj “/C=CN/ST=GD/L=SZ/O=lee/OU=study/CN=testRoot”这行可以不要,会有命令交互填写相关信息。

image.png
2. 哈希算法不要使用sha1,因为Chrome浏览器下会提示不安全,上面都是用的sha256。
3. /etc/pki/tls/openssl.cnf文件是缺省的OpenSSL配置文件,可能环境不同路径也不同。
4. 服务器证书请求文件的国家,省,市要和CA证书一致,这个在openssl.cnf默认配置中指定了,可以修改。

image.png
1. 关于私钥的加密格式,因为笔者是在netty里使用的ssl协议,而netty仅支持PKCS8格式的私钥(见http://netty.io/wiki/sslcontextbuilder-and-private-key.html),需要对密钥格式进行转换

//私钥转成PKCS8格式
openssl pkcs8 -topk8 -nocrypt -in server.key -out server_pri.pem

代码如下

SslContext serverSslCtx = SslContextBuilder.forServer(new File("E:/server.crt"),new File("E:/server_pri.pem")).build();

附录

PKCS1与PKCS8格式互转

//默认生成PKCS1格式PEM编码私钥
openssl genrsa -out ca.key 2048
//转换成PKCS8
openssl pkcs8 -topk8 -nocrypt -in ca.key -out ca_private.pem
//PKCS8转换成PKCS1
openssl rsa -in ca_private.pem -out ca.key

PEM与DER互转

//PEM转DER
openssl rsa -in ca.key -outform DER -out ca_private.der
openssl pkcs8 -topk8 -nocrypt -inform PEM -outform DER -in ca.key -out ca_private.der
//DER转PEM
openssl rsa -in ca_private.der -inform DER -outform PEM -out ca.key

PKCS7转PKCS12(tomcat证书)

//需加密码保护
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -name tomcat -out server.p12

//springboot SSL配置
server.port= 8443   //端口
server.ssl.key-store=classpath:server.p12   //证书路径
server.ssl.key-store-password= 123456   //p12证书密码

参考

OpenSSL SAN 证书
使用OpenSSL生成多域名自签名证书进行HTTPS开发调试
使用 openssl 生成证书

liwei2633
关注
  • 2
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux系统openssl 实现ssl自签证书
12-02
通过shell脚本生成CA证书,并且通过CA证书自签服务器、客户端等证书自签后可以实现局域网内https证书信任。该证书可以实现V3(SAN证书扩展名,解决谷歌浏览(Google Chrome)提示没有主题备用名称的问题。
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1231
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
go grpc 安全验证openssl 创建SAN证书
Json_Marz的博客
09-02 381
不用下载openssl,使用go语言生成SAN证书,开箱即用。
openssl生成免费证书
最新发布
认真!
03-14 717
des3 是算法,2048位强度(为了保密性)。server.key 是密钥文件名 -out的含义是:指生成文件的路径和名称。注意:server.crt 是证书持有人的信息,持有人的公钥,以及签署者的签名等信息。-signkey的含义: 自签名。-in的含义: 指定请求文件。x509的含义: 指定格式。
php 证书生成,PHP – OpenSSL 生成CA私钥&证书及签发SAN证书
weixin_34561662的博客
03-11 725
生成CA私钥及证书:使用上面的方法可以生成CA证书并使用,但是如果使用上面的方法直接生成的自签名域名证书,即使你把(CA)证书加入到了受信任的根证书列表,也不会受浏览器信任:NET::ERR_CERT_COMMON_NAME_INVALID此服务器无法证实它就是 localhost – 它的安全证书没有指定主题备用名称。这可能是因为某项配置有误或某个攻击者拦截了您的连接。你还需要把域名加入到SAN...
SANs证书生成
Matthew__M的博客
06-08 1800
证书
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 2714
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
openss CA签署扩展字段的证书
kunyus的博客
02-21 1056
生成签署请求 openssl req -new -key ../ca.key -out metrics-server.csr -reqexts SAN -extensions SAN -subj &quot;/C=CN/ST=Guang'dong/L=Sheng'zhen/O=Kubernetes/OU=dev/CN=metrics-server.k8s.com&quot; -config &amp;lt;(cat /etc...
使用openssl生成SAN证书
Arvin
08-12 2292
使用openssl生成SAN证书
OpenSSL使用示例创建自签证书Linux
玖拾说架构
03-31 722
在本文中,我将与openssl分享在Linux中创建自签证书的步骤。 在Linux中创建自签证书所需的步骤 生成自签证书的步骤包括: 生成私钥 server.key 创建证书签名请求(CSR)server.csr 签署证书签名请求并生成自签证书server.crt 安装openssl 在RHEL / CentOS 7/8上,您可以分别使用yum / dnf,而在Ubuntu上,则可以apt-get用于安装openssl rpm [root @ centos8-1〜]#yum -y install
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
03-30
基于openssl 自行签发https 协议证书 openssl+nginx实现https自签有效加密实战记录
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
可以实现一个简单的CA发放证书更新证书等等功能。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
openssl创建ca 公私密钥 证书
07-13
openssl创建ca 多级ca 生成公私密钥对 证书 加密解密 加签验签等命令,有具体例子。
OpenSSL生成自签证书
weixin_35753964的博客
12-20 369
这里介绍两种方法生成自签证书 第一种方式 通过openssl生成私钥 openssl genrsa -out server.key 1024 使用私钥生成自签名的cert证书文件,以下是通过参数只定证书需要的信息 openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=mykey/O=mykey/OU=mykey/CN=domain1/CN=domain2/CN=domain3"
SAN的自建HTTPS
weixin_43426254的博客
12-14 310
本文应用场景:使用OPENSSL自建HTTPS,并配置Apache2(信息安全实践课) 在高版本的浏览器中,使用HTTPS,浏览器需要检查SAN(Subject Alternative Name) ,配置时如果只有CN(CommonName)是不够的,会有如下警告,打开浏览器的控制面板中的Security,会发现提示去缺少SAN,解决方法就是按照如下的方式配置,其他博客步骤中做一点点小小的改动即可。
JAVA写HTTP代理服务器(一)-socket实现
热门推荐
liwei2633的专栏
09-04 3万+
HTTP代理服务器是一种特殊的网络服务,允许一个网络终端(一般为客户端)通过这个服务与另一个网络终端(一般为服务器)进行非直接的连接。一些网关、路由器等网络设备具备网络代理功能。一般认为代理服务有利于保障网络终端的隐私或安全,防止攻击。 HTTP 代理有分两种: RFC 7230 - HTTP/1.1: Message Syntax and Routing(即修订后的 RFC 2616,HTTP/1
JAVA写HTTP代理服务器(二)-netty实现
liwei2633的专栏
09-04 1万+
接上一篇,因为是用BIO的一个连接一个线程去处理,对于HTTP这种短连接协议来说CPU开销是非常大的,就算加入了线程池也不能完美解决BIO的缺陷,所以可以用NIO进行服务器的优化,NIO基于IO多路复用以实现单线程处理大量连接,但是编写起来比较复杂,所以就选择了netty,这里就不在多叙netty是什么了。 思路netty有内置的http编解码器,那就可以轻易做到不只是转发原始数据,而是可以修改响应
openssl生成自签ca证书
08-16
要使用 OpenSSL 生成自签CA 证书,你可以按照以下步骤进行: 1. 首先,确保你已经安装了 OpenSSL 工具。 2. 打开终端或命令行窗口,导航到你想保存证书的目录。 3. 生成私钥文件(key.pem): ``` openssl genrsa -out key.pem 2048 ``` 4. 生成自签证书请求(csr.pem): ``` openssl req -new -key key.pem -out csr.pem ``` 在执行该命令时,你需要提供一些证书信息,如国家、州、组织等。 5. 使用私钥和证书请求生成自签CA 证书(cert.pem): ``` openssl x509 -req -in csr.pem -signkey key.pem -out cert.pem ``` 在执行该命令时,你还可以设置证书的有效期等信息。 6. 现在,你已经成功生成了自签名的 CA 证书(cert.pem)和私钥(key.pem)文件。 请注意,自签名的证书在生产环境中不被广泛接受。在实际部署中,请考虑使用受信任的第三方证书颁发机构(CA)签署证书,以确保更好的安全性和信任级别。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值