用Openssl建立私有CA并颁发证书

最新推荐文章于 2021-11-12 17:53:33 发布
最新推荐文章于 2021-11-12 17:53:33 发布
阅读量1.1k 收藏
点赞数
分类专栏: OpenSSL
服务器
1.建立CA根证书   


1.1生成私钥     


openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf  -keyout rootkey.pem -out rootreq.pem -days 3650   


 


1.2生成证书,并用私钥签名       


openssl x509 -req -in rootreq.pem -sha1 -extfile ./myopenssl.cnf -extensions v3_ca -signkey rootkey.pem -out rootcert.pem -days 3650   


 


1.3组合证书与私钥,形成CA根证书       


cat rootcert.pem rootkey.pem > root.pem   


 


1.4显示,检查根证书主题与发行者       


openssl x509 -subject -issuer -noout -in root.pem


 


2.创建,颁发二级CA证书   


 


2.1创建二级CA跟证书私钥       


openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf   -keyout serverCAkey.pem -out serverCAreq.pem  -days 3650   


 


2.2生成二级CA证书,并用CA证书签名       


openssl x509 -req -in serverCAreq.pem -sha1 -extfile ./myopenssl.cnf  -extensions v3_ca -CA root.pem -CAkey root.pem  -CAcreateserial -out serverCAcert.pem  -days 3650   


 


2.3组合二级CA证书与二级CA私要,形成二级CA证书       


cat serverCAcert.pem serverCAkey.pem rootcert.pem >serverCA.pem   


 


2.4显示,检查二级CA根证书主题与发行者       


openssl x509 -subject -issuer -noout -in serverCA.pem


 


3.创建,颁发服务端证书


 


3.1创建服务端正书私钥   


openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf   -keyout serverkey.pem -out serverreq.pem  -days 3650


 


3.2创建服务端正书,并签名   


openssl x509 -req -in serverreq.pem -sha1 -extfile ./myopenssl.cnf  -extensions usr_cert -CA serverCA.pem -CAkey serverCA.pem  -CAcreateserial -out servercert.pem  -days 3650


 


3.3组合私钥与证书,形成服务端正书  


 cat servercert.pem serverkey.pem serverCAcert.pem rootcert.pem > server.pem


 


3.4显示,检查服务段证书的主题与发行者   


openssl x509 -subject -issuer -noout -in server.pem


 


4.创建颁发客户端证书


 


4.1创建客户端证书私钥   


openssl req -newkey rsa:1024 -sha1 -config ./myopenssl.cnf   -keyout clientkey.pem -out clientreq.pem  -days 3650


 


4.2创建客户端证书,并签名   


openssl x509 -req -in clientreq.pem -sha1 -extfile ./myopenssl.cnf  -extensions usr_cert -CA root.pem -CAkey root.pem -CAcreateserial -out clientcert.pem  -days 3650


 


4.3组合私钥与证书,形成客户端证书   


cat clientcert.pem clientkey.pem rootcert.pem > client.pem


 


4.4显示,检查服务段证书的主题与发行者   


openssl x509 -subject -issuer -noout -in client.pem


 


5.随机数生成


5.1生成512bit大数   


openssl dhparam -check -text -5 512 -out dh512.pem


 


5.2生成1024bit大数   openssl dhparam -check -text -5 1024 -out dh1024.pem


 


6.验证证书有效性


6.1用二级CA验证服务器证书  


 openssl verify -CAfile  serverCA.pem server.pem
Mr_John_Liang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
搭建个人国密CA(Certification Authority)
云水木石
03-09 4887
在SSL/TLS/HTTPS通信中,证书虽然不是TLS/SSL协议的一部分,却是HTTPS非常关键的一环,网站引入证书才能避免中间人攻击。证书涉及了很多密码学知识,理解证书后,再深入理解...
2018 5月后通用rootca.pem证书
06-25
微信通用rootca.pem证书,对于以下老的商城系统需要更换。
mysql使用SSL连接配置学习(一)
xwawa2012的专栏
05-18 1474
参考:https://www.jb51.net/article/100432.htm、https://www.cnblogs.com/mysql-dba/p/7061300.html 一、SSL介绍 SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议提供的功能主要有: 1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。 2.、身...
OpenSSL中服务端和客户端加密通信中密钥生成过程
lionzl的专栏
04-16 1276
OK, for anyone finding this in the future, you need to create your certificates and sign them appropriately.Here are the commands for linux: //Generate a private key openssl genrsa -des3 -out server
制作SSL证书
qq_38191833的博客
10-01 520
准备工具 安装keytool(jdk自带)、openssl、nginx、web服务 有两种方法生成数字证书,一种是用JDK带的keytool,另一种是用openssl。 我们将利用openssl完成以下表格内容: 完成项 输出文件 CA服务器根证书 cacert.pem 证书 服务器证书 servercert.pem 证书serverkey.pem 私钥 客户端证书 cli...
mkssl:使用OpenSSL创建证书颁发机构和证书的Shell脚本
05-01
#使用OpenSSL创建证书颁发机构和证书MichaëlBekaert ##摘要这是使用OpenSSL 0.9.5作为参考编写的。 首先,您需要OpenSSL。 编译和安装遵循通常的方法。... 现在,我们继续创建一个私有证书颁发机构(CA
privateCA:一个docker-compose存储库,使用标准的OpenSSL和Node-Red接口包装器提供本地私有证书颁发机构(CA
04-06
私人CA 一个由docker-compose组成的存储库,该存储库使用OpenSSL和Node-Red包装器接口提供私有证书颁发机构(CA)。 主要目的是为CA提供其他服务器使用的API,以自动执行证书签名。 仪表板可用于手动签署CSR(证书...
CA私有颁发机构配置.pdf
最新发布
11-12
最后,私有CA使用自己的私钥对服务器的证书请求进行签名,生成服务器的最终证书。这个过程通常不直接在上述步骤中显示,但可以通过`openssl x509`命令完成。签名后的证书会替换`web.crt`或类似文件,然后在服务器上...
私有CA部署1
08-04
私有CA部署的配置文件是openssl.cnf文件,该文件用于定义私有CA的配置参数,包括证书颁发机构的名称、证书请求的生成方式、证书数据库的位置等。 4. 私有CA部署的优点 私有CA部署有以下优点: * 高效:私有CA可以...
制作自签名的小工具OpenSSL
03-13
OpenSSL.cnf在OpenSSL中也能找到,要和ca.srl文件都放到你指定的生成证书的目录下。
cer证书制作(makecert.exe)自己做的UI
03-20
微软的makecert.exe是命令行类型的,不太方便,自己经过研究后把部分命令做成了UI.可以基本实现cer制作,pvk私钥导出,生效/失效时间等功能.把此程序复制到makecert.exe的目录下运行就行了. 易语言制作,安全无毒,无良杀软误报请添加信任. 闲得没事可以打开这个软件的属性-数字签名,用自己做的证书签的名.=w=
微信支付rootca.pem通用根证书
10-01
微信支付rootca.pem通用根证书文件,2018年5月后微信支付默认不提供。
自建CA证书和对应私钥(PEM格式)
04-26
本资源是自建的一个CA证书和私钥,可以用于测试https网络安全测试,在服务器端使用此证书配置,终端访问可以实现https访问,其中证书和密钥都是以文件的形式存储,证书的有效期是两年。
Openssl生成pem格式的数字证书(适配win2000)
热门推荐
skjie的博客
11-12 1万+
Openssl库生成数字证书总结(适配win2000)一文中我们已经实现了crt后缀证书的生成,现在说一下怎么生成pem后缀的证书。大体思路很简单,就是使用OpenSSL生成一个CA证书,并用这个根证书颁发两个子证书server和client。下面就来说一下实现的具体步骤: 一、命令行进入openssl的out32dll路径下,新建一个private文件夹用于放置我们生成的各种证书文件。 二、生成根证书 1、生成根证书私钥 -- ...
openssl 生成证书 ca.pem client.pem server.pem
zxygww的专栏
11-14 9365
OpenSSL 证书生成主要有三步,1、管理员生成“证书私钥‘,然后用私钥生成一份“证书请求文件“(.csr)2、管理员将“证书请求文件“交给商业性CA签署,比如 Verisign 形成正式证书。3、管理员在服务器上导入这个证书。 一、准备工作 根据 OpenSSL 默认配置文件,新建相应目录结构。当然你也可以修改配置文件[ca_default]部分,指定相应目录。
openssl私有CA实现及私有证书签署
donghaixiaolongwang的博客
02-18 2646
当你用到私有CA自签证书的时候,那意味着你的数据需要加密了(在互联网上或者其他使用场景下传输数据)。  要想做到数据安全必须具备以下因素:数据的机密性(数据在传输的过程中必须加密,一般用对称加密算法)、数据的完整性(数据传输过程中不能出错或者被人修改,一般用单项加密算法)、身份认证(明确数据传输双方身份,一般用公钥加密)。 证书是怎么被使用的呢? 以https为例,用户(浏览器端)向服务
微信支付商户证书cert.zip中确实rootca.pem文件解决方法
奋斗的蜗牛
02-29 6274
要设置微信支付功能,按照操作手册,进行到API证书下载,解压cert.zip后,文件夹中没有rootca.pem文件,什么原因?该怎么处理? 微信支付在配置过程中少不了要做API证书配置,不管是单独上传还是打开文件把代码复制后提交,没有API证书的支持,在线支付都是无法达成的。根据微信支付官方的信息:“由于绝大部分操作系统已内置了微信支付服务器证书的根CA证书, 2018年3月6日后, 不...
openssl生成ca并配置证书在浏览器
05-12
生成CA证书: 1. 首先生成一个私有密钥: ``` openssl genrsa -out ca.key 2048 ``` 2. 生成自签名的CA证书: ``` openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 在这个过程中,你需要填写一些证书信息,比如组织名、单位、国家等信息,这些信息可以自己决定。 配置证书在浏览器: 1. 将生成的ca.crt证书安装到浏览器的受信任根证书颁发机构(CA)列表中。 - 在Chrome浏览器中,打开设置,然后在搜索栏中输入“证书”或“安全”,找到“管理证书”或“证书管理”选项,然后导入证书。 - 在Firefox浏览器中,打开设置,然后在搜索栏中输入“证书”,找到“查看证书”选项,然后导入证书。 2. 在Web服务器上配置SSL证书。 在Web服务器上配置SSL证书,这里以Nginx为例,需要将生成的ca.crt证书和服务器私有密钥合并成一个PEM文件,然后在Nginx配置文件中配置SSL证书: ``` ssl_certificate /path/to/fullchain.pem; ssl_certificate_key /path/to/privkey.pem; ``` 在这里,fullchain.pem是由ca.crt和服务器证书合并而成的PEM文件,privkey.pem是服务器私有密钥。 3. 在浏览器中访问Web服务器的HTTPS页面。 访问Web服务器的HTTPS页面,此时浏览器会提示证书信息,点击“继续”或“信任”即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值