自签名的证书

最新推荐文章于 2024-04-29 10:00:00 发布
最新推荐文章于 2024-04-29 10:00:00 发布
阅读量1.1k 收藏 2
点赞数
文章标签: ca tomcat openssl keytool https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/harryhare/article/details/44831199
版权

1.key -export 产生的cer文件


keytool -genkeypair -keyalg RSA -alias tomcat -keystore tomcat.keystore

注意在被提示输入名字(CN)的时候要输入ip或者域名,“127.0.0.1”或者“localhost”,后面浏览器访问的时候,也只能用此时输入的ip或者域名才能正常访问,

其他被提示输入的东西随便输

keytool -export -alias tomcat -keystore tomcat.keystore -file xxx.cer


上面生成cer文件,在windows下双击打开,

然后点击安装证书——》下一步——》将证书放入下列存储——》受信任的根证书颁发机构——》确定-》下一步——》完成

受信任的根证书颁发机构这个选项,好像必须是这个,其他的选项,导入后也无法被信任。

然后IE 和 chrome中就可以正常https访问了

firefox好像中无法把这个文件导入为根证书颁发机构,只能导入为服务器,但是导入之后是无效的(可能是ip或域名无法和证书关联)

不过,firefox可以用另一种方法保存证书:

证书管理器——》添加例外——》输入网址——》获取证书——》(成功后,下面会显示一坨信息)——》确认安全例外


2.用openssl 生成根证书 ,用自己生成的根证书签名

a.生成服务器keystore

keytool -genkeypair -keyalg RSA -alias tomcat -keystore tomcat.keystore

-genkeypai 和 -genkey 应该是一样的

b.用上一步的keystore生成csr文件

keytool -certreq -alias tomcat -keystore tomcat.keystore -file certreq.csr
c生成CA根证书 

openssl req -new -x509 -keyout ca.key -out ca.crt

d.用上一步生成的CA对csr文件进行签名

路径和文件初始化:

mkdir demoCA

cd demoCA

mkdir newcerts

touch index.txt

echo 1234 >serial
签名: 

openssl ca -in certreq.csr  -out certreq.crt -cert ca.crt -keyfile ca.key


e.把证书链文件ca.crt和证书回复certreq.crt导入a中生成的keystore文件中

keytool -import -alias root -keystore tomcat.keystore -trustcacerts -file ca.crt
keytool -import -alias tomcat -keystore tomcat.keystore -file certreq.crt

第一句会提示:

是否信任此证书? [否]:  y
证书已添加到密钥库中

第二句会提示:

证书回复已安装在密钥库中


f.tomcat配置文件

和1中是一样的


g.浏览器或者操作系统导入根证书ca.crt

ie,chrome基本和1中是一样的

firefox,可以直接在根证书选项中导入


可能遇到的问题:

1.找不到 openssl.cnf

只要把 参数中 -config openssl.cnf 这项去掉就可以了

去掉后,openssl会用自己默认的openssl.cnf文件

我的系统是/usr/lib/ssl/openssl.cnf


2.待签名的服务器信息和CA的信息不相符

The countryName field needed to be the same in the
CA certificate (cn) and the request (Unknown)

解决方法:

方法一:重新生成相关文件,使相同

方法二:编辑openssl.cnf,修改policy为anything

方法三:好像有个参数-policy anything?

方法四:按照需求改变openssl.cnf中的配置,分别配置对每个字段的要求

另外,即使输入字段相同,也有可能报错,原因可能是编码不同


3.chrome打开网页后会提示:该网站使用的安全设置已过期(原因见参考4)

网页可以正常打开,只是地址栏左侧不是绿色的锁头,而是一个灰色的带警告三角的锁头

解决方法:

ca签名是增加参数-md sha256

openssl ca -in certreq.csr  -out server127.crt -cert ca.crt -keyfile ca.key -md sha256

当然你也可以加个-days 100的选项使之在2016年1月1号之前失效

openssl ca -in certreq.csr -out server127.crt -cert ca.crt -keyfile ca.key -days 100


最后,一些没搞明白的:

1.openssl -sha256

2.openssl -newkey rsa:2048

3.openssl -keysize 2048

4.openssl -md sha256

上面这些参数的区别和联系是什么?


结果:





参考:

1.http://www.html580.com/9581(有图片和详细说明,正确性待考)

2.http://blog.94it.net/post/openssl-ca.html

3.http://www.wosign.com/Support/SSLins/tomcat_install.htm

4.http://www.itrus.cn/html/fuwuyuzhichi/1048.html

harryhare
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
签名证书
我的LOG
04-01 307
Unable to load config info from /usr/local/ssl/openssl.cnf 解决:Set OPENSSL_CONF=D:\ToolExe\openssl\bin\openssl.cnf key的生成 openssl genrsa -des3 -out root.key 2048 #这样是生成rsa私钥,des3算法,openssl格式,2048位强度。 # root.key是密钥文件名 openssl rsa -in root.key -out no_pw_r
spring boot 启用https
qq_34533703的博客
06-09 250
命令:keytool -genkey -alias testhttps -keyalg RSA -keysize 2048 -validity 36500 -keystore "D:/tmp/ssl/testhttps.keystore"命令解释:• -genkey 表示要创建一个新的密钥。• -alias 表示 keystore 的别名。• -keyalg 表示使用的加密算法是 RSA。• -keysize 表示密钥的长度.。• -keystore 表示生成的密钥存放位直。
签名免费(SSL)私有证书
haodayizhizhuzhu的博客
02-16 5012
内容导航1,生成加密自签名(SSL)证书1,使用openssl工具生成一个RSA私钥2,删除密码,重命名文件,导出key内容3,生成CSR(证书签名请求)4,生成自签名crt证书1,下载证书到本地2,win + r 打开mmc进入控制台1EDN:内容参考1,背景描述:2,解决方法:EDN:内容参考。
windows2016安装证书管理器、IIS配置自签名证书、导出证书证书.pfx转化为.crt和.key
最新发布
wangluoanquan111的博客
04-29 1574
之前写过一篇《》,配置方法大同小异。
本地测试使用自签名证书以开启网站https(例子说明:Nginx、Tomcat)
MysticalDream的博客
05-16 8715
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL 证书是数字证书的一种。
Windows IIS 信任自签名客户端证书的方法
weixin_43189591的博客
06-21 652
Windows iis如果要信任自签名的客户端证书, 首先需要在 注册表 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL。路径下添加 ClientAuthTrustMode 类型: REG_DWORD 值:2。之后在mmc的当前本地计算机的受信任的根证书颁发机构下添加 自签名证书的根证书即可。
Nginx配置SSL自签名证书的方法
09-30
签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们...
openssl自签名证书命令
07-09
https目前广泛流行,现提供openssl自签名证书的命令和基本验证命令。
易语言创建自签名证书源码-易语言
06-13
易语言创建自签名证书源码提供了一种方法,让开发者能够快速、简单地为自己的软件生成自签名证书。 易语言是一种中文编程语言,它的设计理念是降低编程难度,使普通用户也能进行程序开发。这个源码示例将帮助易语言...
ssl自签名证书生成(v1)
01-07
### SSL自签名证书生成详解 #### 一、概述 在网络安全通信中,SSL(Secure Sockets Layer)证书扮演着至关重要的角色,它用于确保客户端与服务器之间的数据传输安全。自签名证书是一种特殊的SSL证书,由证书所有者...
android https遇到自签名证书/信任证书
05-05
然而,当使用自签名证书或非受信任的证书时,Android系统通常会抛出安全异常,导致连接失败。本文将详细探讨Android中的HTTPS连接以及如何处理自签名证书和信任证书的问题。 一、HTTPS基础 HTTPS基于HTTP协议,但在...
SSL自签名证书
全栈攻城狮JSON的博客
11-25 7053
一、概念 1.1、TLS 传输层安全协议 Transport Layer Security 作为SSL协议的继承者,成为下一代网络安全性和数据完整性安全协议 1.2、SSL 安全套接字层 Secure Socket Layer 位于TCP/IP中的网络传输层,作为网络通讯提供安全以及数据完整性的一种安全协议 1.3、HTTPS HTTP+SSL(secure socket layer)/TLS(Transport Layer Security)协议,HTTPS协议为数字证书提供了最佳的应用环境 1.4、Op
签名证书与加/解密
weixin_43460239的博客
06-21 1712
签名证书是指使用自己的证书颁发机构(Certificate Authority,CA)来生成和颁发证书,而不是依赖于公共的第三方CA。与使用受信任的第三方CA不同,自签名证书的信任链由自己管理,因此在信任方面可能存在一些挑战。创建自签名证书颁发机构(CA):首先,您需要创建自己的证书颁发机构,也就是私有CA。这个CA将负责颁发和管理您自己的证书。您可以使用工具(如OpenSSL)生成自己的CA证书和私钥
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 4907
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
OpenSSL生成自签名证书及使用
@tangguo123 博客
07-10 2661
openssl 生成自签名证书及使用
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 3448
Nginx
企业化替换VMware vsphere自签名证书解决访问警告
在VMware vSphere环境中,默认使用的自签名证书可能会导致浏览器访问时的安全警告。为了确保企业内部的安全性和统一性,管理员通常需要替换这些自签名证书为受信任的证书。本文将详细介绍如何替换vCenterServer的自...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值