使用OpenSSL生成自签名证书相关命令

最新推荐文章于 2024-05-28 10:25:15 发布
最新推荐文章于 2024-05-28 10:25:15 发布
阅读量3.1k 收藏 17
点赞数 4
分类专栏: OpenSSL/HTTP/Socket 文章标签: openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengbingchun/article/details/107386847
版权

在用于小范围测试等目的的时候,用户也可以自己生成数字证书,但没有任何可信赖的机构签名,此类数字证书称为自签名证书。证书一般采用X.509标准格式。下面通过OpenSSL相关命令介绍如何生成自签证书。

1. 生成自签名根证书(一级证书):

(1).产生长度为2048的rsa私钥root.key,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl genrsa -out root.key 2048

(2).验证私钥root.key:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl rsa -in root.key -check

(3).创建根证书签名请求(Certificate Signing Request)文件root2.csr,PEM格式:输入以下命令回车后,需要依次填入相关信息,例子如下,每行的冒号后为需要填写的,若不填写则可直接回车跳过,采用默认值,如下图所示:

LD_LIBRARY_PATH=../lib ./openssl req -new -out root2.csr -key root.key

 也可以通过增加选项-subj来生成证书签名请求,命令如下:root.csr和root2.csr内容完全一致

LD_LIBRARY_PATH=../lib ./openssl req -new -out root.csr -key root.key -subj "/C=cn/ST=beijing/L=haidian/O=FBC/OU=test/CN=fengbingchun/emailAddress=fengbingchun@163.com"

(4).验证root.csr,查看证书签名请求详细信息:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl req -text -in root.csr -noout -verify

(5)创建根证书root.crt,PEM格式:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl x509 -req -in root.csr -out root.crt -signkey root.key -days 3650

(6).将root.crt由PEM格式转换到DER格式:

LD_LIBRARY_PATH=../lib ./openssl x509 -outform der -in root.crt -out root.der

(7).验证root.crt,查看证书详细信息:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl x509 -text -in root.crt -noout

(8).验证root.key, root.csr, root.crt是否具有相同的公钥:执行结果如下图所示,输出结果一致

LD_LIBRARY_PATH=../lib ./openssl rsa -modulus -in root.key -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl req -modulus -in root.csr -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl x509 -modulus -in root.crt -noout | LD_LIBRARY_PATH=../lib ./openssl sha256

2. 由自签名根证书颁发服务器端证书(二级证书):

(1).产生长度为2048的rsa私钥server.key,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl genrsa -out server.key 2048

(2).验证私钥server.key:

LD_LIBRARY_PATH=../lib ./openssl rsa -in server.key -check

(3).创建服务器端证书签名请求server.csr, PEM格式:CN填写本地测试机的IP或域名

LD_LIBRARY_PATH=../lib ./openssl req -new -out server.csr -key server.key -subj "/C=cn/ST=beijing/L=haidian/O=Spring/OU=server_test/CN=10.4.96.33/emailAddress=Spring@server_test.com"

(4).验证server.csr,查看证书签名请求详细信息:

LD_LIBRARY_PATH=../lib ./openssl req -text -in server.csr -noout -verify

(5).创建服务器端证书server.crt,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl x509 -req -in server.csr -out server.crt -signkey server.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

(6).验证server.crt,查看证书详细信息:执行结果如下图所示,注意与root.crt的差异

LD_LIBRARY_PATH=../lib ./openssl x509 -text -in server.crt -noout

(7).将server.crt由PEM格式转换到DER格式:

LD_LIBRARY_PATH=../lib ./openssl x509 -outform der -in server.crt -out server.der

(8).验证server.key, server.csr, server.crt是否具有相同的公钥:

LD_LIBRARY_PATH=../lib ./openssl rsa -modulus -in server.key -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl req -modulus -in server.csr -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl x509 -modulus -in server.crt -noout | LD_LIBRARY_PATH=../lib ./openssl sha256

(9).使用根证书root.crt来校验服务器端证书server.crt:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl verify -CAfile root.crt server.crt

3. 由自签名根证书颁发客户端证书(二级证书):

(1).产生长度为2048的rsa私钥client.key,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl genrsa -out client.key 2048

(2).验证私钥client.key:

LD_LIBRARY_PATH=../lib ./openssl rsa -in client.key -check

(3).创建客户端证书签名请求client.csr,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl req -new -out client.csr -key client.key -subj "/C=cn/ST=beijing/L=haidian/O=Spring/OU=client_test/CN=Chun/emailAddress=test@client_test.com"

(4).验证client.csr,查看证书签名请求详细信息:

LD_LIBRARY_PATH=../lib ./openssl req -text -in client.csr -noout -verify

(5).创建客户端证书client.crt,PEM格式:

LD_LIBRARY_PATH=../lib ./openssl x509 -req -in client.csr -out client.crt -signkey client.key -CA root.crt -CAkey root.key -CAcreateserial -days 3650

(6).验证client.crt,查看证书详细信息:

LD_LIBRARY_PATH=../lib ./openssl x509 -text -in client.crt -noout

(7).将client.crt由PEM格式转换到DER格式:

LD_LIBRARY_PATH=../lib ./openssl x509 -outform der -in client.crt -out client.der

(8).验证client.key, client.csr, client.crt是否具有相同的公钥:

LD_LIBRARY_PATH=../lib ./openssl rsa -modulus -in client.key -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl req -modulus -in client.csr -noout | LD_LIBRARY_PATH=../lib ./openssl sha256
LD_LIBRARY_PATH=../lib ./openssl x509 -modulus -in client.crt -noout | LD_LIBRARY_PATH=../lib ./openssl sha256

(9).使用根证书root.crt来校验客户端证书client.crt:执行结果如下图所示

LD_LIBRARY_PATH=../lib ./openssl verify -CAfile root.crt client.crt

GitHubhttps://github.com//fengbingchun/OpenSSL_Test

fengbingchun
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
openssl命令制作生成证书和自签名
10-12
openssl命令制作生成证书和自签名
使用openssl生成签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
Linux openssl 生成证书的详解
weixin_38081382的博客
06-24 1234
目录前言1 概念2 环境3 创建根证书CA4 颁发证书4.1 在需要证书的服务器上,生成证书签署请求4.2 在根证书服务器上,颁发证书5 测试5.1 读取test.pfx文件5.2 读取test.cer文件最近,被分配了一个任务,完成数字证书管理系统的开发,一开始我是一脸懵逼的,因为以前我对于什么数字证书都没了解过,可谓了一片空白,也不知其是用来干嘛的。于是,我奋发图强,用了一个下午加晚上的时间来脑补这部分概念知识,原来数字证书其实就是网站的身份认证。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者
OpenSSL签名证书
最新发布
爱喝星冰乐的博客
05-28 886
OpenSSL自签证书
OpenSSL 生成签名证书
weixin_51715424的博客
10-19 3431
Nginx
OpenSSL生成签名证书
weixin_52582672的博客
11-09 1307
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成签名证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
OpenSSL生成的ssl证书
01-11
这会生成一个有效期为365天的自签名证书`certificate.crt`。 5. **合并证书和私钥**:为了简化Nginx配置,你可以将证书和私钥合并到一个文件中: ``` cat private.key certificate.crt > server.pem ``` **...
使用openssl生成单向ssl证书
04-04
通过以上步骤,你就成功地使用openssl生成了单向SSL证书,并将其应用于基于Boost.Asio的SSL通信测试。在实际生产环境中,通常会使用权威证书颁发机构签发的证书,以提供更高的信任度和安全性。但在测试和开发阶段,...
使用OpenSSL生成Kubernetes证书的介绍
09-30
总结起来,使用OpenSSL生成Kubernetes证书涉及多个步骤,包括创建私钥、CA证书、服务器私钥、CSR以及最终的服务器证书。了解并熟练掌握这一过程对于管理Kubernetes的安全性至关重要。在实际操作中,可能还需要根据...
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书命令和基本验证命令
openssl_gmssl命令生成证书.txt
01-21
包含OpenSSL和GMSSL生成证书命令,RSA证书和SM2证书生成方式
使用 OpenSSL 生成签名证书
cfycyf的博客
03-29 291
https://www.ibm.com/docs/zh/api-connect/10.0.1.x?topic=overview-generating-self-signed-certificate-using-openssl 基本环境 [root@localhost build]# rpm -q centos-release centos-release-7-9.2009.1.el7.centos.x86_64 [root@localhost build]# openssl req -newkey r
openssl生成签名证书
m0_61747530的博客
06-05 1700
openssl生成签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
通过openSSL生成签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
openssl 生成签名证书 并配置ssl
小鱼儿的博客
04-27 773
××××生成跟CA****** openssl req -new -x509 -days 3650 -keyout privatekey.pem -out CARoot.crt  openssl rsa -in privatekey.pem -out privatekey.pem   //去掉密码 中间我出现了unable to write 'random state',查了很多,基本上
OPenSSL-生成证书
m晴朗的博客
11-02 1324
首先要有一个CA根证书,然后用CA根证书来签发用户证书。 用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA 根证书来签发证书
windows下使用openssl生成签名ssl证书
05-26
以下是在Windows上使用OpenSSL生成签名SSL证书的步骤: 1. 下载和安装OpenSSL。你可以从官方网站 https://www.openssl.org/source/ 或者一些其他的源获取OpenSSL。 2. 打开命令提示符并浏览到OpenSSL安装目录下...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值