OpenSSL生成自签名证书及使用

已于 2023-07-10 15:07:47 修改
阅读量2.8k 收藏 12
点赞数 1
文章标签: 服务器 运维
于 2023-07-10 14:31:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hj17629030978/article/details/131635018
版权
本文介绍了如何通过OpenSSL工具生成自签名证书,包括创建私钥、生成证书请求(CSR)、制作自签名证书的步骤,并提到了证书在HTTPS和nginx服务器配置中的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. OpenSSL生成自签名证书

1. 安装OpenSSL:首先,确保您的系统上安装了OpenSSL。

2. 生成私钥:运行以下命令生成一个私钥文件(例如,private.key):

openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048

此命令将使用RSA算法生成一个私钥文件。

  • private.key:生成的私钥文件
  • -pkeyopt rsa_keygen_bits:2048:指定密钥长度为2048(SSL/TLS 协议要求使用安全性较高的密钥长度以确保通信的安全性。一般来说,EE 密钥的推荐长度为2048位或更高)

3. 生成证书请求 (CSR):使用生成的私钥,运行以下命令生成一个证书请求文件(例如,csr.pem):

openssl req -new -key private.key -out csr.pem

该命令将提示您提供一些信息,例如组织名称、国家/地区、通用名称等。填写相应的信息并保存文件。
生成证书请求提示添加信息

  • Country Name (2-letter code) [XX]: 输入国家/地区代码
  • State or Province Name (full name) []: 输入州/省的全名
  • Locality Name (eg, city) [Default City]: 输入所在城市的名称
  • Organization Name (eg, company) [Default Company Ltd]: 输入组织名称
  • Organizational Unit Name (eg, section) []: 输入组织单位或部门名称
  • Common Name (eg, your name or your server’s hostname) []: 输入通用名称,即与您正在请求证书的域名相对应的主机名,例如 “example.com”
  • Email Address []: 输入电子邮件地址

以上信息,如果没有,请留空。

4. 生成自签名证书:使用生成的私钥和证书请求,运行以下命令生成自签名证书(例如,public.crt):

openssl x509 -req -in csr.pem -signkey private.key -out public.crt -days 365

这将使用私钥对证书请求进行签名,并生成一个自签名证书文件。

  • public.crt:生成的自签名证书文件
  • -days 365:证书有效时长为365天

二. 使用生成的自签名证书

1. HTTPS 经由 HTTP 进行通信,利用 SSL/TLS 来加密数据包,需要证书支持

2. 在nginx中配置证书文件

配置证书

@tangguo123
关注
OpenSSL创建SSL证书
悦分享
06-03 5385
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
使用openssl生成自签名证书(多域名)用于https的ssl验证
liaomingwu的专栏
10-27 1168
有时在项目的开发环境和测试环境,并不能获得正式的证书,但是项目的开发和测试又需要证书来模拟生产环境下的安全配置,此时就可以采用自签名证书。而且我们希望我们的证书能够在开发环境和测试环境中完全正常的使用,不会出现各种证书无效的提示和警告。此时就可以参考这里的步骤进行配置。
使用 openssl 生成证书
weixin_34075551的博客
09-17 4669
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
使用OpenSSL生成自己CA根证书,和使用CA根证书颁发二级证书
最新发布
xsh219的博客
03-02 1272
需要在自己安装好Openssl,网上有很多攻略本文是以grpc的证书认证为例,用生成的root.crt证书签发两个二级证书client.crt和server.crt本来参考书别人的博客想做一下grpc的双向证书认证,发现在客户端运行代码总是无法识别根证书,摸索才发现我生成的根证书就不能签发 证书,所以才写下此篇博客记录一下,仅供参考!
生成自签ssl证书
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
OpenSSL做自签名的证书
12-08 1658
这里抄录LDAP+OpenSSL集中认证配置一文的一部分:公私钥:公钥可以唯一解密私钥加密过的数据,反之亦然。以下用P指代公钥,V指代私钥。SSL过程:需要两对公私钥(P1,V1),(P2,V2),假设通信双方是A和B,B是服务器,A要确认和它通信的是B:A->B: helloB->A: 用V2加密过的P1(即用户证书,A就用P2解密出P1)A->B: okB->A: 用V1加密的一段信息
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2564
ssl
使用openssl生成自签名证书
ttyy1112的专栏
05-09 723
您现在拥有有效期为 10 年的自签名 SSL 证书。:创建证书签名请求 (CSR):使用私钥和 CSR 签署证书
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
OpenSSL生成的ssl证书
01-11
这会生成一个有效期为365天的自签名证书`certificate.crt`。 5. **合并证书和私钥**:为了简化Nginx配置,你可以将证书和私钥合并到一个文件中: ``` cat private.key certificate.crt > server.pem ``` **...
OpenSSL 生成证书
优秀的亮亮
02-19 5970
OpenSSL 生成证书
openssl生成证书
12-27
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
openssl 生成 证书
11-23
打包的一个openssl包,自己编写的一个openssl 的批处理,填写基本信息就能生成key,免去了自己繁琐的输入命令。(openssl基于apache2.2.21提取) 如果配置来使用svn的话可以参考:http://blog.csdn.net/nicaiwa/article/details/6932472
【实用工具系列】(7)使用OpenSSL创建证书
砥砺前行
10-13 1615
最近在做PDF签名相关的功能,其中需要使用证书来签名。于是参考OpenSSL和其他网络文章,作成了一些方便的脚本文件来创建CA证书和终端证书
通过openSSL生成证书
LordForce的博客
07-27 1334
通过openSSL命令生成证书
使用 openssl 生成证书(含openssl详解)
热门推荐
我不是码农的博客~~~
06-04 2万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 4833
Nginx
openssl 生成自签名证书
01-06
### 如何使用 OpenSSL 生成自签名证书 #### 准备工作 确保已安装并配置好 OpenSSL 工具。可以通过命令 `openssl version` 来验证是否成功安装。 #### 创建私钥文件 为了安全起见,先创建一个用于存储密钥的目录,并进入该目录: ```bash mkdir ~/ssl && cd ~/ssl ``` 接着可以利用下面这条指令来生成 RSA 私钥(默认长度为2048位),并将它保存到名为 `server-key.pem` 的文件里[^1]: ```bash openssl genrsa -des3 -out server-key.pem 2048 ``` 此过程会提示设置加密口令保护私钥的安全性;如果希望省去这一步,则可去掉 `-des3` 参数以不带密码的方式生成私钥。 #### 构建自签发 X.509 数字证书请求(CSR) 有了上述准备好的私钥之后,就可以着手构建 CSR 文件了。这里采用交互模式填写必要信息,最终产出的结果会被写入至 `server.csr` 中: ```bash openssl req -new -key server-key.pem -out server.csr ``` 在执行过程中需依次提供国家名、省份名称等细节资料给即将颁发出来的虚拟身份证明书所用。 #### 执行自签署操作得到公有证书 最后一步就是让刚才建立起来的那个实体自己给自己发放一张有效期一年的有效凭证——即所谓的“自签名证书”。具体做法如下所示: ```bash openssl x509 -req -days 365 -in server.csr -signkey server-key.pem -out server-cert.pem ``` 此时便完成了整个流程,在当前路径下应该能看到新产生的两个重要文档:一个是之前提到过的 `.csr` 请求表单副本;另一个则是至关重要的 `.pem` 结构化编码形式呈现出来的公开认证材料。 对于某些应用场景而言,可能还需要进一步转换成其他格式比如 PFX/PEM 等以便于部署应用环境之中[^2]。例如要将现有的 PEM 类型转存为 Windows 平台常用的 PKCS#12 归档包时可以用这样的语句实现: ```bash openssl pkcs12 -export -out server.pfx -inkey server-key.pem -in server-cert.pem ``` 以上便是完整的基于 OpenSSL 实现自定义 SSL/TLS 自签名证书制作全过程介绍。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值