3 自建 HTTPS 证书

最新推荐文章于 2021-11-16 09:09:03 发布
最新推荐文章于 2021-11-16 09:09:03 发布
阅读量415 收藏
点赞数
分类专栏: HTTP 文章标签: http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hukfei/article/details/72729932
版权

CA 证书的分类

分类单域名多域名泛域名多泛域名
DV支持支持不支持不支持
OV支持支持支持支持
EV支持支持不支持不支持
举例www.baidu.comwww.baidu.com;www.google.com;www.baidu.org*.baidu.com.baidu.com;.gogle.com

需要强调的是,不论是 DV、OV还是 EV 证书,其加密效果都是一样的。它们的区别在于:

  • DV(Domain Validation):面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过;
  • OV(Organization Validation):面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA 通过拨打信息库中公司的电话来确认;
  • EV(Extended Validation):打开 Github 的网页,你会看到 URL 地址栏展示了注册公司的信息,这会让用户产生更大的信任,这类证书的申请除了以上两个确认外,还需要公司提供金融机构的开户许可证,要求十分严格。

OV 和 EV 证书相当昂贵,使用方可以为这些颁发出来的证书买保险,一旦 CA 提供的证书出现问题,一张证书的赔偿金可以达到 100w 刀以上。

生成密钥、证书

1 为服务器端和客户端准备公钥、私钥。

# 生成服务器端私钥
openssl genrsa -out server.key 1024
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem
# 生成客户端私钥
openssl genrsa -out client.key 1024
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

2 生成 CA 证书

# 生成 CA 私钥
openssl genrsa -out ca.key 1024
# X.509 Certificate Signing Request (CSR) Management.
openssl req -new -key ca.key -out ca.csr
# X.509 Certificate Data Management.
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

在执行第二步时会出现:

➜  keys  openssl req -new -key ca.key -out ca.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Zhejiang
Locality Name (eg, city) []:Hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:My CA
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:localhost
Email Address []:

注意,这里的 Organization Name (eg, company) [Internet Widgits Pty Ltd]: 后面生成客户端和服务器端证书的时候也需要填写,不要写成一样的!!!可以随意写如:My CA, My Server, My Client。

然后 Common Name (e.g. server FQDN or YOUR name) []: 这一项,是最后可以访问的域名,我这里为了方便测试,写成 localhost,如果是为了给我的网站生成证书,需要写成 barretlee.com。

3 生成服务器端证书和客户端证书

# 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件
openssl req -new -key server.key -out server.csr
# 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.c

Nginx 部署证书

server {
        listen       443 ssl;
        server_name  www.domain.com
        ssl on;
        ssl_certificate /etc/nginx/ssl/ssl.crt;
        ssl_certificate_key /etc/nginx/ssl/ssl.key;
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers on;

        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;

        location /workbench {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_connect_timeout 90;
        }

        location /main {
            proxy_pass http://127.0.0.1:8080;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_connect_timeout 90;
            add_header Access-Control-Allow-Origin *;
            add_header Access-Control-Allow-Methods 'GET, POST, PUT, DELETE, OPTIONS';
            add_header Access-Control-Allow-Credentials 'true';
            add_header Access-Control-Allow-Headers 'content-type, authorization, if-none-match, x-requested-with, Content-Range, Content-Length';
        }

        location / {
        }
}
_kaifei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
https改造-自签CA证书相关证书创建
杨杨杨~~的博客
07-22 1852
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
ios自己搭建服务器证书,iOS一步一步实现Https自建证书校验
weixin_42462382的博客
07-31 891
oooO ↘┏━┓ ↙ Oooo( 踩)→┃你┃ ←(死 )\ ( →┃√┃ ← ) /_)↗┗━┛ ↖(_/我觉得https是iOS开发者要踩的最大的一个坑了,每每看他人写的博客都是只讲理论贴代码,却没有一篇是教你一步一步实现,是不是很头大呢。今天来一步一步实现https的正确验证,后面再讲不正确的验证。步骤:1.生成私钥 > 生成签名 > 生成证书(服务器端) > 生成证书(...
自建https证书
am540的博客
04-02 732
CA服务器的建立 只有先有CA服务器才能对后续自建的网站证书进行颁发和签署 生成CA私钥文件caPrivate.key openssl genrsa -des3 -out caPrivate.key 2048 #为了防止私钥文件被篡改,所以一般都会对其进行权限的限制,要么事先umask要么事后chmod umask 077 chmod 400 caPrivate.key 指令说明openssl genrsa -help genrsa:用于生成RSA密钥对的OpenSSL命令 -des3:用des3加密
搭建一个简单的https服务
my_miuye的博客
07-11 4254
  为了测试ab工具压测https接口,简单搭了一下https,记录一下过程。   环境准备 在docker中建了3个容器: A: 证书颁发(CA) B: 服务端 C: 客户端 docker run -d --name ca centos:centos7 /bin/bash docker run --privileged=true -d --name https-server -p 8000:80 -p 8443:443 centos:centos7 /usr/sbin/i
搭建自己的https服务器详解
zhengyikuangge的博客
01-09 2万+
研究了一天多,终于明白了域名、SSL证书和项目之间的关系了!!域名和云服务器都是买的腾讯云,SSL证书是在腾讯云里免费领取的。我推荐腾讯云是因为我觉得好用而已,不是为了打广告,花多少钱我会在准备工作中详细说明,请各位读者自行选择 准备工作: 一、申请域名 过程很简单,推荐xyz和club结尾的,十几块钱一年的 二、申请云服务器或有可供公网访问的服务器 过程很简单;由于我参加的是学生体验活动...
web安全之自建HTTPS
daisy_li123的博客
02-02 413
HTTPS建立流程:  1. CA建立,并颁发给自己根证书。  2. CA将含有自己公钥的根证书颁发给浏览器厂商,浏览器厂商将证书绑定浏览器。  3. 网站服务器产生自己的公私钥,并将含有自己公钥的待签名证书发给CA 。 4. CA核实网站服务器信息,用自己的私钥给网站证书签名。  5. 网站服务器拿到签名的证书,把它配置到 Apache等自己的服务器上。  6. 客户端浏览网站时,网
从零开始搭建一个 HTTPS 网站
强哥叨逼叨
03-19 1750
从零开始搭建一个 HTTPS 网站 本文转自:https://cjting.me/2016/09/05/build-a-https-site-from-scratch/ 我们都知道 HTTP 是非常不安全的,不安全的根源在于 HTTP 是明文传输。你在谷歌搜索了一个关键词(假设 Google 使用 HTTP),HTTP 数据包从你的计算机传送到服务器的过程中,中间经过的任意一个设备都可以轻松解析你的数据包,获取你的关键词,你的隐私毫无保障。 你的信息被人获取只是明文传输的其中一个问题。总体来说,明文传
了解 HTTPS(三) —— 证书
zwkkkk1的博客
08-28 990
  在前面的文章我们知道,在通信过程中仍有无法证明公开密钥是货真价实真正的公开密钥的问题。为了解决这一问题,就要使用由数字证书认证机构(CA)颁发的公开密钥证书。   数字证书认证机构是客户端与服务器双方都可信赖的第三方机构。 数字证书认证机构的业务流程大致是这样的: 首先,服务器运营人员向 CA 提出公开密钥的申请,数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签...
linux中自建证书搭建https
a1523407的博客
04-26 1万+
前言          搭建https有两种方式,分为单向认证和双向认证。单向认证就是传输的数据加密过了,但是不会校验客户端的来源,也就只有客户端验证服务端证书。 搭建https  1.生成单向认证的https证书 建立服务器私钥,生成RSA秘钥。过程中会要求输入密码,记住你输入的密码。(如:123456) [root@iZ23f31fmtgZ certificate
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
2. 创建根CA证书:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创建根CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
win-acme 网站https 证书免费申请工具
08-15
3. **定期续订**:由于Let's Encrypt的证书有效期为90天,win-acme提供了自动续订功能,确保在证书即将过期前及时更新,避免服务中断。 4. **多域名支持**:除了单一域名,win-acme还支持通配符域名和多域名证书的...
GMSSL自建CA证书
最新发布
03-28
### GMSSL自建CA证书详解 #### 国密算法GMSSL工具编译安装及使用 ##### 1. 前提准备与环境配置 - **项目官方文档**: 通过访问官方文档 [http://gmssl.org/docs/install.html](http://gmssl.org/docs/install.html...
自建HTTPS证书
阿祥_CSDN
07-13 6162
在做 Web 相关开发的时候,有可能需要在本地搭建 https 的环境,而在 https 环境的过程中,需要私钥和证书文件,本文提供自建证书的方案供读者参考。
自建CA实现HTTPS
bangnvecao9075的博客
07-10 647
说明:这里是Linux服务综合搭建文章的一部分,本文可以作为自建CA搭建https网站的参考。 注意:这里所有的标题都是根据主要的文章(Linux基础服务搭建综合)的顺序来做的。 如果需要查看相关软件版本和主机配置要求,请根据目录自行查看。 Linux服务综合搭建的文章目录 ===================================================...
欢迎访问自建博客 AIUAI.CN - https://www.aiuai.cn 交流学习
长风破浪会有时,直挂云帆济沧海
05-16 3816
博客记录学习起始于 2017-05-18, 于 CSDN. 至今, 已整整一年. CSDN 的技术博客氛围不错, 尤其 Markdown 编辑器功能用着较为顺手. 但, 决定自己搭建一个博客的原因在于, 在这一年里, CSDN 更新了 N 次页面排版样式, 或好或坏, 随之只能接受其给于的改变, 小不爽; CSDN 在多次的改版中, 对于 Markdown 数学公式多次出现编码乱码, ...
自建https服务器
forloop163的博客
12-25 327
1、安装升级openssl 2、创建ssl证书,并配置到nginx服务器 代码:openssl genrsa -des3 -out private.key 2048 //生成私钥  openssl req -new -key private.key -out server.csr //生成证书请求,Common Nam为服务器域名openssl rsa -in private
自建证书配置HTTPS服务器
dwjpeng2的专栏
03-05 375
1、写这篇博客的初衷是因为最近iOS9出来了,苹果官方默认要求使用HTTPS,所以自己想整一个HTTPS服务器,也想好好了解一下HTTPS通信,也知道了HTTPS其实就是在HTTP的基础上加上了SSL/TLS。具体想了解SSL/TLS原理的请浏览SSL/TLS协议运行机制的概述和SSL/TLS原理详解。中途看了很多博客,也花了不少时间,所以想记录一些东西。 2、这篇博客的内容主要是讲升级open...
HTTPS-自己生成数字证书
无风听海
11-16 4312
一、获取证书的途径 自签名证书,适用于开发者测试HTTPS,最快速的途径就是生成自签名证书,非常方便。 Let’s Encrypt证书,可以使用免费CA机构签发的证书。 使用收费CA机构签发的证书,如果对证书安全性、兼容性、功能有特殊需求,可以向CA机构申请证书。 二、自签名证书 自签名证书是我们自己签发的,浏览器不会集成私有的CA机构的根证书,所以打开页面的时候会进行提示,用户选择信任证书之后,后续的通信就会进行加密保护的。 自签名证书的用途还是很广泛的,对于一些企业内部系统,由于购买证书需要成本,可
4. Content-Disposition 详解
热门推荐
kaifei的博客
03-04 4万+
文章目录文件下载响应头的设置Server 端实现文件下载 文件下载响应头的设置 content-type 指示响应内容的格式 content-disposition 指示如何处理响应内容。 一般有两种方式: inline:直接在页面显示 attchment:以附件形式下载 Server 端实现文件下载 打开文件,将文件内容写入到 reponse 中 设置 Response header(co...
.NET weabapi自建SSL证书
06-10
在 .NET WebAPI 中自建 SSL 证书可以通过以下步骤完成: 1. 安装 OpenSSL 工具: - 下载 OpenSSL 工具并安装; - 确认 OpenSSL 安装位置,例如:C:\OpenSSL。 2. 生成自签名证书: - 打开命令提示符,进入 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值