用 openssl 签发CA

最新推荐文章于 2023-06-13 22:24:52 发布
最新推荐文章于 2023-06-13 22:24:52 发布
阅读量1.3k 收藏
点赞数
分类专栏: J2SE 文章标签: tomcat behavior ssl server url import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jaytse/article/details/2710925
版权
  rel="File-List" href="file:///C:%5CDOCUME%7E1%5CADMINI%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_filelist.xml"> rel="Edit-Time-Data" href="file:///C:%5CDOCUME%7E1%5CADMINI%7E1%5CLOCALS%7E1%5CTemp%5Cmsohtml1%5C01%5Cclip_editdata.mso">

步骤:

一、              创建一个目录,名称为CA

1.       生成CA密钥

#openssl genrsa –des3 –out ca.key 2048

Enter password phrase for ca.key: 123456

 

2.       生成CA根证书

#openssl req –new –x509 –days 3650 –key ca.key –out ca.crt

Enter password phrase for ca.key: 123456

Country Name: CN

State or Province: Jiangsu

Locality Name: Wuxi

Organization Name: Nfschina-Wuxi

OU: eGovernDept

CN: NfschinaCA

Email: ca@nfs-wuxi.com

 

此时已经生成CA密钥文件ca.keyCA根证书ca.crt

 

3.       查看密钥和证书

1)      查看密钥

#openssl rsa – noout –text –in ca.key

2)      查看根证书

#openssl x509 –noout –text –in ca.crt

 

二、              Tomcat创建SSL连接密钥以及服务端证书

1.       创建目录结构

2.       更新文件内容

1)      设置index.txt文件为空文件

2)      serial文件内容是合法的16进制数字,例如0001

#echo –n 0001 > serial

 

3.       tomcat生成SSL密钥

#keytool –genkey –alias tomcat_server –validity 3650 –keyalg RSA –keysize 1024 –keypass 123456 –storepass 123456 –keystore keystore/192.168.0.180.key

First and last name: 192.168.0.180

                      :eGovernDept

                      :Nfschina-Wuxi

                      : Wuxi

                      : Jiangsu

                      :CN

       此时192.168.0.180.key密钥文件已经存放在keystore目录下

 

4.       生成证书申请

#keytool –certreq –alias tomcat_server –sigalg MD5withRSA –file csr/192.168.0.180.csr –keypass 123456 –storepass 123456 –keystore keystore/192.168.0.180.key

此时192.168.0.180.csr证书申请文件在csr目录下

 

5.       CA根证书为tomcat_ssl签署证书

#openssl ca –in csr/192.168.0.180.csr –out crt/192.168.0.180.crt –keyfile ../CA/ca.key –notext –cert ../CA/ca.crt –config /etc/ssl/openssl.cnf

此时192.168.0.180.crt证书文件已经存放在crt目录下了

 

6.       CA根证书和tomcat_ssl证书植入到tomcat_ssl_server密钥文件中

#keytool –import –v –trustcacerts –alias NfschinaCA –file …/CA/ca.crt –storepass 123456 –keystore keystore/192.168.0.180.key

#keytool –import –v –alias tomcat_server –file crt/192.168.0.180.crt –storepass 123456 –keystore keystore/192.168.0.180.key

此时keystore/192.168.0.180.key中已经包含了根证书和刚刚为其签发的证书

利用下面这条命令可以查看

#keytool –list –v –keystore keystore/192.168.0.180.key

 

注意:

       上述3个别名tomcat_server应该保持一致,因为它生成密钥时,密钥文件中已经默认存放一个自签名的证书,最后一步导入证书使用相同的别名可以覆盖,否则在tomcat进行ssl连接时指定该默认证书

 

三、              生成客户端证书

1.       生成私钥

#openssl genrsa –des3 –out keystore/jinjian.key 1024

此时生成了私钥

利用下面这条命令可以查看私钥

#openssl rsa –noout –text –in keystore/jinjian.key

 

2.       生成签证请求

#openssl req –new –days 3650 –key keystore/jinjian.key –out csr/jinjian.csr –config /etc/ssl/openssl.cnf

 

注意:

       修改/etc/ssl/openssl.cnf文件

a)       修改默认认证时间

default_days = 365 à default_days = 3650

b)      修改默认CA匹配策略

[policy_match]

countryName                = match         à   countryName                      = optional

stateOrProvinceName    = match         à    stateOrProvinceName   = optional

organizationName           = match         à    organizationName         = optional

organizationalUnitName   = optional       à    organizationUnitName    = optional

commonName               = supplied       à    commonName                     = optional

emailAddress                 = optional       à    emailAddress                = optional

c)      AU à CN

[req_distinguished_name]

countryName_default      = optional       à    countryName_default     = optional

3.       CA和私钥签名

#openssl ca –in csr/jinjian.csr –out crt/jinjian.crt –cert ../CA/ca.crt –keyfile ../CA/ca.key –notext –config /etc/ssl/openssl.cnf

利用这条命令查看证书

#openssl x509 –in crt/jinjian.crt –noout –text

 

4.       将私钥和证书合成PKCS12格式

#openssl pkcs12 –export –inkey keystore/jinjian.key –in crt/jinjian.crt –out crt/jinjian.p12

jaytse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
linux下利用openssl来实现证书的颁发(详细步骤)
dedaijie6745的博客
10-16 375
1、首先需要安装openssl,一个开源的实现加解密和证书的专业系统。在centos下可以利用yum安装。 2、openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。 3、首先需要利用openssl生成证书,以后的服务器端证书或者客户端证书都用他来签发...
java证书颁发二级证书_OpenSSL 给自己颁发证书,由证书签发下级证书的步骤。...
weixin_39649405的博客
02-26 867
1.建立证书(1)生成私钥openssl genrsa -des3 -out CAroot.key 2048。产生一个2048位的私钥,在安装的openssl目录下调用openssl命令。需要输入私钥保护口令。产生CAroot.key文件。(2)生成证书请求openssl req -new -key CAroot.key -out rootca.csr -config D:\OpensslI...
06.Openssl基本概念
艾小小雨的博客
02-01 319
6.1 配置文件openssl的许多应用程序和函数使用配置文件获取默认的信息和选项,所以,要使用Opnessl,尤其使用openssl的指令。6.1.1 配置文件概述openssl提供的主要配置文件是openssl.cnf,他集成了openssl所要的配置文件选项的大部分内容。使用形式:变量名=变量值注意事项:a.变量值域可支持由"\"或者需要用其他引用符号声明的特殊字符,如果“\"符号...
OpenSSL生成CA自签名证书和颁发证书
FLY的博客
08-05 6343
openssl ca
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
openssl 创建ca 签发证书
10-10
本文将深入讲解如何使用OpenSSL创建自己的CA(Certificate Authority)并签发证书,以及构建多级CA的实践过程。 首先,让我们了解什么是CACA是数字证书的颁发机构,它负责验证请求证书的实体身份,并为其签发具有...
利用openssl自制CA证书
09-13
3. **签发CA证书**:使用刚刚生成的CSR和私钥,我们可以创建CA证书。 ``` openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` 这将创建一个有效期为3650天(约10年)的CA证书。 4. **设置...
openssl_ca:具有QT GUI的openssl_ca
02-05
同时,它还附带了一些命令行工具,如`openssl ca`,用于执行CA的各种操作,例如签发证书、撤销证书等。然而,对于非技术人员,直接使用这些命令行工具可能会比较困难,这就是`openssl_ca`项目的价值所在,它通过GUI...
使用OpenSSL创建测试CA证书的标准方法
10-01
使用OpenSSL创建测试CA证书的标准方法,OpenSSL,CA,Certificate
openssl证书签发流程详解
魏志标的博客
06-13 4008
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。构成部分密码算法库密钥和证书封装管理功能SSL通信API接口用途建立 RSA、DH、DSA key 参数建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表)计算消息摘要使用各种 Cipher加密/解密SSL/TLS 客户端以及服务器的测试处理S/MIME 或者加密邮件数字证书标准X.509版本号。
openssl签发证书
吴东方的博客
12-28 6566
导言: 有时候,使用SSL协议是自己内部服务器使用的,这时可以不必去找第三方权威的CA机构做证书,可以做自签证书 使用openssl签发证书分为四个步骤:生成密钥对、生成证书请求、创建一个root CA签发证书 一、生成密钥对 1、生成rsa密钥 (1)生成私钥 使用命令openssl genrsa: openssl genrsa -out private.key 2048 如果想为这个key值加密,可使用命令: openssl genrsa -aes128 -out private
Linux命令之openssl命令
热门推荐
月生的静心苑
10-25 1万+
openssl是一个功能极其强大的命令行工具,可以用来完成公钥体系(Public Key Infrastructure)及HTTPS相关的很多任务。openssl是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。   openssl有两种运行模式:交互模式和批处理模式。...
openssl 生成免费证书
chymingyan的专栏
12-22 1531
1.什么是openssl? 它的作用是?应用场景是什么?什么是openssl? 它的作用是?应用场景是什么? openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的
openssl证书添加多个IP
林三的专栏
11-27 1万+
前文http://blog.csdn.net/linsanhua/article/details/16878817 描述了基于 OpenSSLCA 建立及证书签发过程。 这里描述怎么利用subjectAltName添加ip到openssl证书。 首先创建openssl.cnf, 内容如下. 其中organizationalUnitName_default是你的组织名,commonName
openssl 进行创建私有CA并自签,发证,吊销证书
刘东义的博客
01-26 3423
一,创建私有CA(我使用的是192.168.10.2的服务器)自签:    openssl的配置文件: cat  /etc/pki/tls/openssl.cnf dir             = /etc/pki/CA  真正的工作目录 certs           = $dir/certs   已经签发CA证书 crl_dir         = $dir/crl      ...
使用openssl模拟CACA证书签发
GeorgeGuo
06-03 3915
当使用ssl/tls进行加密通信时,必须要有数字证书。若通信只限制在局域网内,可以不向第三方机构申请签发证书,可以通过openssl模拟CA(Certificate Authority),并通过该CA签发证书。下文讲述在Centos7.3上使用openssl工具签发证书的具体步骤。 1 生成模拟CA 1.1 修改配置文件/etc/pki/tls/openssl.cnf 打开opens...
CA证书自签详解
z344945251的博客
06-05 7377
原文链接:http://blog.csdn.net/liunian_siyu/article/details/53024407 首先需要安装opensslopenssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。 首先需要利用openssl生成证书
openssl签发ca自签名证书
04-04
以下是使用OpenSSL签发CA自签名证书的步骤: 1. 生成私钥文件: ``` openssl genpkey -algorithm RSA -out ca.key ``` 2. 生成自签名证书请求文件: ``` openssl req -new -key ca.key -out ca.csr ``` 在此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值