TLS初探(4)多域名证书

最新推荐文章于 2024-08-23 17:31:24 发布
最新推荐文章于 2024-08-23 17:31:24 发布
阅读量2.2k 收藏
点赞数
分类专栏: 安全 文章标签: TLS 证书 多域名 openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jjxojm/article/details/81293046
版权
本文详细介绍了如何使用openssl创建多域名证书请求文件(CSR),通过编辑openssl.cnf配置文件启用Subject Alternative Name字段,并在签发证书时复制CSR中的扩展字段,以实现多域名支持。同时,文章还提到了在证书签发过程中的一些注意事项,如保持openssl.cnf配置的独立性和设置证书为CA以进行后续签发。
摘要由CSDN通过智能技术生成

       在“TLS初探(2)证书简介”中提过,如想使用泛域名,可在Subject DN(Distingushed Name)的CN(Common Name)中使用*通配符,例如*.abc.com。而如果想使用同一证书匹配多个域名,可以使用X.509中扩展字段的Subject Alternative Name字段来进行多域名支持。

       为此如果想支持多域名证书,首先就要想办法在CSR证书请求中增加对X.509 v3扩展字段的支持,默认的openssl.cnf配置文件中并未开启支持;但是个人推荐还是不要修改默认的openssl.cnf配置,而是拷贝一份至CA证书同级目录下,从而确保对每个CA证书制定请求和签发规则。

(一)制作多域名证书请求文件(CSR)

首先找到openssl.cnf中“[ req ]”配置,并打开其下“req_extenstions = v3_req”配置,如下所示:

[ req ]
......
req_extensions = v3_req

表示对于证书签发请求文件,启用req_extensions,并且扩展字段参照“v3_req”配置,接着同样找到“[ v3_req ]”,从而在其下添加Subject Alternative Name扩展,如下所示:

[ v3_req ]
......
subjectAltName = @alternative_names
......
[alternative_names]

DNS.1
最低0.47元/天 解锁文章
DreamerJ
关注
专栏目录
TLS初探(2)证书简介
jjxojm的专栏
07-29 3375
      证书可以理解为签发方信息、拥有者信息、公钥以及签名(由签发方私钥签名)的集合(当然还有额外信息)。校验证书是否可信,实际就是检验该证书是否是由合法的签发方签发,验证的方法就是首先通过签发方信息找到对应的签发方证书,利用签发方证书中的公钥去校验签名是否正确。        从上述验证方法可以看出,实际上证书是否可信是由其签发方的证书来进行校验的,而签发方的证书的可信是由上一层签发方的证...
使用openssl签发证书、签发服务器证书、多域名证书
qiqiangnie的博客
01-13 1011
使用openssl签发证书、签发服务器证书、多域名证书 1、openssn.cnf的配置 openssn.cnf位置在 /usr/local/ssl/openssl.cnf 修改【CA_default】标签下的 dir为固定目录、 dir= /home/nieqq/openssl/ca 创建以下文件目录结构 执行以下命令为序列号赋初值 echo "01" >>/home/nieq...
Go TLS服务端绑定证书的几种方式
TonyBai
10-14 454
随着互联网的发展,网站提供的服务类型和规模不断扩大,同时也对Web服务的安全性提出了更高的要求。TLS(Transport Layer Security)[1]已然成为Web服务最重要的安全基础设施之一。默认情况下,一个TLS服务器通常只绑定一个证书[2],但当服务复杂度增加时,单一证书已然难以满足需求。这时,服务端绑定多个TLS证书就成为一个非常实用的功能。Go语言中的net/http包和tls...
TLS认证流程及报文解析
最新发布
qq_42288975的博客
08-23 1416
介绍了TLS单向认证、双向认证、会话恢复流程,根据报文解析深入理解上述流程。
如何选择SSL 证书服务
weixin_34318326的博客
08-01 329
从信任等级的角度来说,SSL证书主要分为三类: 1. 域名型https证书(DVSSL):信任等级一般,只需验证网站的真实性便可颁发证书保护网站; 2. 企业型https证书(OVSSL):信任等级高,须要验证企业的身份,审核严格,安全性更强; 3. 增强型https证书(EVSSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最好,同时可以激活绿色网址栏。   从支持的...
域名SSL证书怎么样?如何申请?
osfipin note
10-29 707
SSL证书自从进入大众的视野之后就一直颇受欢迎,毕竟在保护网络安全方面发挥着不小的作用。长期以来,由于各网站的需求不同,它也出现了很多种分类。单从域名数量和类型上就被分为单域名SSL证书、多域名SSL证书和通配符证书。 现在很多的企业涉及的业务范围比较广,可能同时会建立多个网站来满足各方面业务的需求。而多域名SSL证书的出现,正是这些企业的福音。多域名SSL证书顾名思义可以支持多个不同的域名,最...
SNI: 实现多域名虚拟主机的SSL/TLS认证
热门推荐
上善若水,水善利万物而不争。
02-20 1万+
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手时,服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域
域名SSL证书介绍
09-22 596
在前几天介绍了通配符证书,今天主要介绍一下多域名证书,这也是一种解决拥有多个域名网站SSL证书管理问题的办法。多域名SSL证书和通配符SSL证书的区别还是很大的,下面ssl盾小编带您了解多域名SSL证书。 多域名SSL证书是什么: 多域名SSL证书(SAN/UCC),即可保护多个不同域名的SSL证书,一般默认保护3-4个域名,可以付费添加域名,最多可保护250个域名。 多域名SSL证书的优点: 1.节约成本,多域名SSL证书在刚申请时其实就默认可以保护3-4个域名,如果数量不够,还可以付费添加,费用
Caddy 初探
SimpleCoder's Blog
02-14 5839
caddy 是使用 go 语言开发的一个 server 服务器 相对于 nginx 来说,这个部署更简单,配置起来也很简单,很适合搭私人站点使用,而且相比于 nginx 来说,这个只有单文件,很适合小白使用 而且,这东西最大的优点是,可以通过简单的配置来支持 https,而无需操心证书,另外还支持 http2 协议 这里有一份中文文档,请注意查收 入手 以 mac os 为例 我只需要 brew ...
HTTP协议初探与前后端通信
# 1. HTTP协议简介 HTTP(HyperText Transfer Protocol)是一种用于传输超文本的应用层协议,是互联网的基础之一。本章将介绍HTTP协议的起源、基本... ... ...- **简单快速**:客户端向服务器请求时只需要传送请求方法和
初探Python中的HTTP请求与响应处理
# 1. 理解HTTP协议基础 ...它定义了客户端和服务器之间传输数据的规则,是Web通信的基础。 ... ...它使用URI(Uniform Resource Identifier)来定位资源,并通过请求和响应的方式进行通信。...- 请求行包括请求方法
SSL证书之多域名SSL证书
09-24 409
域名SSL证书是SSL证书的一种,像是Sectigo、Digicert、Thawte、GlobalSign这写国际SSL证书品牌旗下都有多域名SSL证书,一些大型企业用户也比较喜欢使用此类SSL证书。 多域名SSL证书也可以称为Multi SAN SSL或者Multi Domain SSL证书,主要可以用一张SSL证书保护多个域名,但是和通配符证书不一样的是多域名SSL证书可以保护多个主域名及子域名,而不是只保护一个主域名及下所有子域名。这是多域名证书和通配符证书的区别,也是人们选择SSL证书是的重
域名SSL证书是什么意思?
蔚可云的博客
11-05 249
什么是多域名SSL?与通配符SSL有何不同? 给自己的网站树立一个安全可信的形象、维护用户信息是每个企业建立自己网站后的重点。因此提升网站的安全性能是一个迫在眉睫的任务,其中部署SSL证书就是一个方法。但是考虑到越来越多的企业开始建立分支机构,每个分支机构再建立一个分支网站,若是对这些网站都部署SSL证书,会带来很多麻烦,这时候便需要多域名SSL证书的帮助了。 你应该了解过什么是域名SSL证书,那么什么是多域名SSL证书?SSL证书是通过在用户的浏览器以及一个网站的服务器之间建立一条安全通道,.
域名DV SSL证书
03-30 305
1.SSL证书的作用 当网站展现在因特网中,就会有信息泄露的危险,因为一般网站传输信息都是用http安全协议,数据都是明文传输,数据容易被截取或者篡改,所以为了网站发展和对用户隐私的保护就有了https安全协议,这其实就是在网站传输信息时对网站信息进行128-256位加密,使信息传输加了一个安全套接层,有效地保护了网站安全。 同时SSL证书也会对服务器的真实身份进行认证,这就可以让访问者看到网站真正的所有者。一般DV SSL数字证书在安装成功之后只能看到申请者的域名信息,而OV SSL证书和EV SSL
什么是多域名SSL证书?作用是什么?
wenwen9961的博客
05-22 297
如果选择单域名SSL证书保护,那么就需要购买三张单域名SSL证书,在申请证书时需要每个域名都去申请签发,操作流程上就需要同样的操作步骤操作三次,比较费时费力。多域名SSL证书可以为这类情况提供极好的解决方案,用户购买多域名SSL证书时,可以根据所需保护的域名选择购买数量,从而实现一张证书就能保护所有域名。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书域名证书用电子文书的形式,确定了域名注册者对域名的拥有权以及拥有时限,对于确立域名的归属有决定性的作用,也是受法律认可的证书文件。
域名SSL介绍
qq2224949439的博客
06-08 188
域名SSL介绍
域名证书的签名和自签名流程
习惯
05-06 2772
最近项目需要支持多域名证书, 研究了一下再次做下总结, 以便以后查阅。 开发前准备: Linux 环境下 使用openssl 制作, 没有安装openssl 的可以在网上搜索下安装。 1:使用 openssl 生成私钥文件 server.key openssl genrsa -out server.key 2048   2:因为证书需要支持多个域名,所以需要修改 openssl
mbedtls 解析证书
07-27
### 回答1: mbedtls是一款开源的专注于嵌入式设备的网络通信加密库,其中也包含了对证书的解析功能。mbedtls可以解析各种X.509格式的证书,并提供了相应的API来进行操作。 mbedtls库提供了以下几个函数来解析证书: - `mbedtls_x509_crt_parse`:用于将证书的DER或PEM格式的数据解析为X.509证书结构。 - `mbedtls_x509_crt_free`:用于释放解析后的证书结构所占用的内存。 - `mbedtls_x509_crt_info`:用于打印证书的基本信息,如版本号、序列号、有效期等。 - `mbedtls_x509_crt_verify_info`:用于打印验证证书时的信息,如公钥哈希、签名算法、颁布者等。 使用mbedtls解析证书的步骤如下: 1. 调用`mbedtls_x509_crt_init`函数初始化证书结构。 2. 调用`mbedtls_x509_crt_parse`函数解析证书数据,并将解析后的结构存储在证书结构中。 3. 调用`mbedtls_x509_crt_info`函数打印证书的基本信息。 4. 如果需要验证证书的合法性,可以使用`mbedtls_x509_crt_verify_info`函数打印验证时的信息。 5. 调用`mbedtls_x509_crt_free`函数释放证书结构所占用的内存。 需要注意的是,mbedtls仅提供了对证书的解析功能,并不负责证书的验证。如果需要验证证书的合法性,还需要调用其他函数来实现。此外,证书的解析需要提供证书的数据,可以是DER或PEM格式的数据。 总之,mbedtls提供了方便的API来解析证书,并且适用于嵌入式设备。通过调用相关的函数,可以轻松地将证书数据解析为证书结构,并进行相应的操作。 ### 回答2: mbedtls是一个轻量级的加密库,它提供了解析和验证证书的功能。 证书是用于加密和认证通信的数字凭证,常用于HTTPS、SSH等加密协议中。解析证书是指从证书文件中提取出证书中的各个属性信息,例如有效期、颁发者、公钥等。 使用mbedtls解析证书通常包括以下步骤: 1. 加载证书:将证书文件加载到内存中,可以使用mbedtls_x509_crt结构表示证书。 2. 解析证书:使用mbedtls_x509_crt_parse函数解析证书。这个函数会解析出证书中的各个属性信息,并将其存储在mbedtls_x509_crt结构中。 3. 验证证书:使用mbedtls_x509_crt_verify函数对证书进行验证。这个函数会验证证书的合法性,包括检查证书链、有效期、颁发者等,确保证书的可信度。 4. 提取证书信息:使用mbedtls_x509_crt_info函数可以从解析好的证书结构中提取出各个属性信息,如有效期、颁发者、公钥等。可以通过访问mbedtls_x509_name结构获取颁发者信息,通过访问mbedtls_x509_time结构获取有效期信息,通过访问mbedtls_pk_context结构获取公钥信息等。 5. 清理资源:在使用完mbedtls_x509_crt结构后,需要使用mbedtls_x509_crt_free函数释放资源。 mbedtls库提供了简单易用的API来解析和验证证书,只需要几个简单的函数调用即可完成这些操作。它是一个可靠的工具,广泛应用于各个领域的加密通信中。 ### 回答3: mbedtls是一款轻量级的加密与安全通信库,可以用来进行SSL/TLS协议的实现。它不仅提供了SSL/TLS协议的功能,还包括了解析证书的能力。 在使用mbedtls解析证书时,首先我们需要获取证书的二进制数据。可以通过读取文件、网络传输或其他方式获取证书,并将其保存为二进制形式。 接下来,我们可以使用mbedtls_x509_crt结构体来存储解析后的证书信息。这个结构体包含了证书的各个字段,比如公钥、主题等。 使用mbedtls_x509_crt_parse函数可以将二进制证书数据解析为mbedtls_x509_crt结构体。这个函数接受三个参数:解析后的证书结构体、二进制证书数据和二进制数据的长度。函数执行成功后,我们就可以通过访问结构体的成员来获取证书的各个字段信息。 例如,可以通过访问x509_crt结构体的subject或issuer成员来获取证书的主题和颁发者信息。如果证书包含了公钥信息,我们可以通过访问x509_crt结构体中的公钥成员来获取公钥的相关信息。 需要注意的是,mbedtls解析证书时并不会验证证书的有效性,例如是否是受信任的颁发者颁发的证书。如果需要对解析后的证书进行验证,我们可以通过使用mbedtls_x509_crt_verify函数来完成。 总之,mbedtls提供了方便的接口来解析证书,并可以通过访问结构体的成员来获取证书的各个字段信息。它是一款简单易用的解析证书的工具,非常适合用于嵌入式设备等资源有限的场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值