【随笔记】生成私有的CA认证证书,记录SSL证书完整签发过程

已于 2022-09-28 14:03:28 修改
阅读量465 收藏
点赞数
分类专栏: 知识记录 文章标签: ssl nginx 运维
于 2021-09-26 14:54:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hao114500043/article/details/120488951
版权

水滴石穿,点滴记忆

生成crt秘钥

  • 第一步创建配置文件
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = cn
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = sc
localityName                = Locality Name (eg, city)
localityName_default        = cd
organizationName            = Organization Name (eg, company)
organizationName_default    = my
organizationalUnitName            = Organizational Unit Name (eg, section)
organizationalUnitName_default    = as
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = hy.com

[ req_ext ]
subjectAltName = @alt_names


[alt_names]
IP.1    = 127.0.0.1
DNS.1   = *
DNS.2   = 127.0.0.1

这里的作用有两个,一个是里面的生成信息每次都是一致的,另一个就是签发的IP可以随意修改。

需要注意的是,IP与DNS要成对配置。

  • 第二步生成私钥key
openssl genrsa -out server.key 2048
  • 第三步生成csr文件

这里生成csr可以使用上面创建的配置文件,也可以不使用,到最后生成crt文件的时候在使用config

使用config

openssl req -new -nodes -out server.csr -key server.key -config  config.conf

不使用config

openssl req -new -nodes -out server.csr -key server.key

生成是使用SHA256并且与key一起生成

openssl req -new -SHA256 -newkey rsa:2048 -nodes -keyout server.key -out server.csr -config config.conf
```cmd
+ 第四步生成最终的crt证书

这里是创建了一个bat脚本,后面每次签发不同的IP,可以修改config.conf文件。在直接运行bat就可以了

```cmd
@echo off


set /p ok=是否继续[Y/N]:

if "%ok%"=="y" (
	set ok=Y
)

if "%ok%"=="Y" (
	cd %~dp0
	C:/OpenSSL-Win64/bin/openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt -extfile config.conf -extensions req_ext
	@echo off
	pause
)

配置NGINX

在nginx的conf目录下创建一个文件夹,取名httpsCofig,这个里面用来放上面生成的两个文件:

  • server.crt
  • server.key

后续如果发生IP变化,可以直接更换这里的文件

下面看一下NGINX的配置

#user  nobody;
worker_processes  1;

#error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;
	


    #log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
    #                  '$status $body_bytes_sent "$http_referer" '
    #                  '"$http_user_agent" "$http_x_forwarded_for"';

    #access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;

	map $http_upgrade $connection_upgrade {
		default upgrade;
		'' close;
	}
	
    server {
        listen       443 ssl;
        server_name  127.0.01;
		ssl_certificate     httpsConfig/server.crt;
		ssl_certificate_key httpsConfig/server.key;
		ssl_session_cache    shared:SSL:1m;
		ssl_session_timeout  5m;
		ssl_ciphers  HIGH:!aNULL:!MD5;
		ssl_prefer_server_ciphers  on;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;
		
		location /map/ {
            alias   googlemaps/roadmap/;
        }
		# http使用常规的nginx代理策略,前端正常使用https进行连接
		location / {
            root   html;
            index  index.html index.htm;
			proxy_pass http://127.0.0.1:12345;
			proxy_http_version 1.1;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
			client_max_body_size 22m;
			proxy_set_header Host $host:$server_port;
			proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_set_header X-Forwarded-Port $server_port;
			proxy_redirect http:// $scheme://;
        }
		# websocket使用nginx进行代理,这里用的是http握手方式,前端使用wss进行连接
		location /MyWebSocket/websocket {
            root   html;
            index  index.html index.htm;
			proxy_pass http://127.0.0.1:12346/MyWebSocket/websocket;
			proxy_http_version 1.1;
			proxy_set_header Upgrade $http_upgrade;
			proxy_set_header Connection "upgrade";
        }
		
		
        #error_page  404              /404.html;

        # redirect server error pages to the static page /50x.html
        #
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
	
}
不怎么迷糊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自建ca证书_如何创建私有 CA签发证书
weixin_42355744的博客
12-24 1058
为什么需要自己的 CA?因为公共 CA (比如排名前几的这几家:Comodo, Symantec, GlobalSign, DigiCert, StartCom)颁发证书要收费,而且价格很贵。当然现在也有了像 Letsencrypt 这样的免费 CA。我们的应用是企业内网,域名使用私有域名,没有办法使用互联网的 CA 办法的证书。基本概念对称加密 用相同的密码进行加密加密非对称加密 用不同的秘钥对...
阿里云跨账号申请ssl证书签发
06-30
阿里云跨账号申请ssl证书签发-详细笔记总结
C#调用Windows api 生成CA证书
05-12
在客户端导入证书,是一个十分棘手的问题,但是若是用C/S程序,就好办多了,它可以不顾浏览器的兼容性,好好看看,对你也许有帮助!
自制ca证书nginx配置https访问
qq_37369726的博客
12-09 3382
CA证书颁发机构。有受信任的第三方颁发机构,也有个人的。但是自己充当颁发机构的话是不受浏览器信任的。 CA证书:由CA机构颁发的证书,相当于盖公章。是由颁发机构的私钥给需要证书方的公钥加密生成。 这里需要两个密钥对,一个颁发方,一个是请求证书方。 颁发证书过程: 1.请求方假定叫a事先生成密钥对,也可以是颁发机构假定叫b代为生成。有了密钥对之后,请求方a保管好私钥,将公钥给机构b,因为需要b给它的公钥加上数字认证,也就是生成证书。 2.机构b对a的身份进行确认,自制的话不用,比如电话核实或者邮件核实是否是
在Linux系统中,使用OpenSSL生成私有证书文件,并提取私钥的步骤如下:
最新发布
qq_43559669的博客
05-29 367
上述命令中,我们首先生成了一个2048位的私钥存储在private.pem文件中。然后,我们创建了一个自签名的证书签名请求(CSR),并用该私钥生成了自签名的证书(CRT)。最后,我们使用openssl rsa命令将私钥从private.pem格式中提取出来,并以PEM格式输出到private.key文件中。
自己做CA自签名证书生成
02-25 1629
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。 一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发证书也会被信任。 最近做了个iOS ipa包上传下载程序,也需要使用https链接,上网查了下...
如何生成私有证书
qq_43559669的博客
12-12 262
openssl req命令,openssl req - -help查看命令的具体含义。 SSL代表一个连接,要跟socket绑定,实际上socket负责传输数据,加密解密相关的工作由SSL来做。 SSLwrite 往socket写数据。 SSLread从socket读数据。 创建ssl实例的时候要绑定socket。 openssl的使用: 1.openssl初始化 2.创建ssl上下文 ssl_ctx 3.加载ssl证书 4.加载ssl私钥 5.创建ssl实例(绑定socket) 5.通过ssl收发数据 6
华为笔记本b3 b5证书.zip
05-06
标题中的“华为笔记本b3 b5证书.zip”表明这是一个与华为笔记本电脑相关的压缩文件,其中包含的证书可能涉及产品认证和核准。描述同样简洁明了,没有提供额外的信息,但可以推断文件主要内容是关于华为B3和B5系列...
Tomcat双向认证SSL证书
08-16
个人学习笔记,markdown风格,记录Tomcat双向认证SSL证书过程
阿里云ssl证书配置https和slb的http跳转到https-详细笔记总结
06-30
摘要:本文主要介绍了阿里云 SSL 证书配置 HTTPS 和 SLB 的 HTTP 跳转到 HTTPS 的详细笔记总结,包括两种方案:一种是 SSL 证书配置在 SLB 上,访问 HTTP:// 会自动跳转到 HTTPS://;另一种是 SSL 证书配置在 Nginx ...
用于生成WEBSERVICE使用的数字证书及签署证书.PYTHON脚本-教程与笔记习题
05-19
它负责验证申请者提交的证书信息的真实性,然后利用CA的私钥对证书进行数字签名,确保证书完整性和不可否认性。 ### 知识点二:使用OpenSSL创建自签名CA OpenSSL是一个开放源码的软件包,提供强大的加密和证书...
HttpListener动态生成下载文件地址代码
08-10
通过HttpListener实现动态生成下载地址,下载完成后地址失效。
网站私有CA证书制作
dianchen8887的博客
09-10 302
所谓的网站安全证书 是通过在客户端浏览器和Web服务器之间建立一条SSL安全通道保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否真实可靠。 大体步骤: 1)签名发送方(甲)对需要发送的明文使用杂凑算法,计算摘要; 2)甲使用其签名私钥对摘要进行加密,得到密文; 3)甲将密文、明文和签名证书发送给签名验证方(乙); 4)...
制作HTTPS私有证书 —HTTPS证书,Golang基础开发与实践
2401_84267735的博客
04-16 1044
DN包含证书主体的身份信息,格式为一系列键值对,使用/分隔。这个subject参数包含的键值对有:- /C=CN:国家名称是CN(China)一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!-subj ‘/C=CN/ST=ZheJiang/L=HangZhou/O=HaHa/OU=HaHa/CN=192.168.3.220/emailAddress=电子邮箱’
CA证书生成过程
十九万里的博客
06-01 2343
创建证书密钥文件(自己做CA)root.key: 创建证书的申请文件root.csr: 创建一个自当前日期起为期十年的根证书root.crt: 创建服务器证书密钥server.key: 创建服务器证书的申请文件server.csr 创建自当前日期起有效期为期两年的服务器证书server.crt 创建客户端证书密钥文件client.key 创建客户端证书的申请文件client.csr 创建一个自当前日期起有效期为两年的客户端证书client.crt 将客户端证书文件client.crt和客户端证书密钥文件
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
大数据开发、JAVA开发、人工智能AI
01-30 1453
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
【博客539】使用openssl手动为k8s集群签发证书
qq_43684922的博客
11-19 1651
1、生成ca私钥:生成一个 2048 位的 ca.key 文件2、基于ca私钥,生成根(root)证书:在 ca.key 文件的基础上,生成 ca.crt 文件。
c# 使用 HttpListener
热门推荐
Qin066的博客
03-12 7万+
通过HttpListener实现简单的Http服务 HttpListener提供一个简单的、可通过编程方式控制的 HTTP 协议侦听器。通过它可以很容易的提供一些Http服务,而无需启动IIS这类大型服务程序。 注意:该类仅在运行 Windows XP SP2 或 Windows Server 2003 操作系统的计算机上可用。 使用Http服务一般步骤如下: 创建一个HTTP侦听器对...
Python脚本生成WEBSERVICE数字证书与签署教程
"这篇教程和笔记主要讲解如何使用Python脚本来生成用于Web Service的数字证书以及签署证书。脚本旨在创建一个自签名的证书权威机构(CA)并使用该CA来签署证书,确保Web Service的安全通信。" 在Web Service的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值