openssl 自签证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量321 收藏 1
点赞数
分类专栏: Linux 文章标签: linux openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lingqiao023/article/details/105883623
版权

生成CA证书

  1. 生成ca秘钥,得到ca.key
$ openssl genrsa -out ca.key 4096
  1. 生成ca证书签发请求,得到ca.csr
$ cat << 'EOF' > ca.conf
[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Guangdong
localityName                = Locality Name (eg, city)
localityName_default        = ShenZhen
organizationName            = Organization Name (eg, company)
organizationName_default    = LingQiao
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = RootCA
EOF

$ openssl req -new -sha256 -key ca.key -config ca.conf -out ca.csr -batch
  1. 生成ca根证书,得到ca.crt
openssl x509 -req -days 3650 -signkey ca.key -in ca.csr -out ca.crt

生成server证书

  1. 生成server秘钥,得到server.key
$ openssl genrsa -out server.key 2048
  1. 生成server证书签发请求,得到server.csr
$ cat << 'EOF' > server.conf
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Guangdong
localityName                = Locality Name (eg, city)
localityName_default        = Shenzhen
organizationName            = Organization Name (eg, company)
organizationName_default    = LingQiao
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Server-localhost
[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = minikube.com
DNS.2   = *.minikube.com
DNS.3   = localhost
IP      = 127.0.0.1
EOF

$ openssl req -new -sha256 -key server.key -config server.conf -out server.csr -batch
  1. 用CA证书生成终端server证书,得到server.crt
$ openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key  -CAcreateserial -extfile server.conf -extensions req_ext -in server.csr -out server.crt

$ openssl x509 -noout -text -in server.crt

验证证书链:

$ openssl verify -CAfile <(cat ca.crt root.crt) ./server.crt

生成client证书

  1. 生成client秘钥,得到client.key
$ openssl genrsa -out client.key 2048
  1. 生成client证书签发请求,得到client.csr
$ cat << 'EOF' > client.conf
[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = Guangdong
localityName                = Locality Name (eg, city)
localityName_default        = Shenzhen
organizationName            = Organization Name (eg, company)
organizationName_default    = LingQiao
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Client-localhost
[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = localhost
IP      = 127.0.0.1
EOF

$ openssl req -new -sha256 -key client.key -config client.conf -out client.csr -batch
  1. 用CA证书生成终端client证书,得到client.crt
$ openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key  -CAcreateserial -extfile client.conf -extensions req_ext -in client.csr -out client.crt

$ openssl x509 -noout -text -in client.crt

测试证书

  1. 单向认证测试
$ openssl s_server -accept 30000 -key server.key -cert server.crt

$ echo | openssl s_client -connect localhost:30000  -showcerts 

$ echo | openssl s_client -connect localhost:30000  -verify 1 -CAfile ca.crt -showcerts
  1. 双向认证测试(mTLS)
$ openssl s_server -accept 30000 -key server.key -cert server.crt -Verify 1 -CAfile ca.crt

$ echo | openssl s_client -connect localhost:30000  -showcerts 

$ echo | openssl s_client -connect localhost:30000  -cert client.crt -key client.key -verify 1 -CAfile ca.crt -showcerts
  1. 其它测试:
openssl s_server: 
 -www          - Respond to a 'GET /' with a status page
 -WWW       - Respond to a 'GET /<path> HTTP/1.0' with file ./<path>
 -HTTP         - Respond to a 'GET /<path> HTTP/1.0' with file ./<path>
 
$ openssl s_server -accept 30000 -key server.key -cert server.crt -Verify 1 -CAfile ca.crt -HTTP
$ echo 'GET /ca.crt HTTP/1.0'  | openssl s_client -connect localhost:30000  -cert client.crt -key client.key -verify 1 -CAfile ca.crt -quiet

$ cat /etc/passwd | openssl s_server -accept 30000 -key server.key -cert server.crt -Verify 1 -CAfile ca.crt
$ echo | openssl s_client -connect localhost:30000  -cert client.crt -key client.key -verify 1 -CAfile ca.crt -quiet

获取服务的证书:
echo|openssl s_client -connect <host:port> 2>&1 |sed -ne '/-BEGIN CERTIFICATION-/,/-END CERTIFICATION-/ > server-cert.pem
验证证书:
openssl -verify server-cert.pem

openssl s_client -connect <host:port> -ssl3

openssl 其它操作

  1. 提取公钥
$ openssl rsa -in server.key  -check
$ openssl rsa -in server.key 
$ openssl rsa -in server.key -test

$ openssl rsa -in server.key -pubout -out server.pub      #私钥提取公钥
$ openssl req -in server.csr -pubkey -noout > server.pub  #证书请求提取公钥
$ openssl x509 -in server.crt -pubkey -noout > server.pub #证书提取公钥

$ diff  <(openssl x509 -pubkey -noout -in server.crt) <(openssl rsa -pubout -in server.key)

$ openssl rsa  -pubin -in server.pub
$ openssl rsa  -pubin -in server.pub -text 

keytool

keytool -list -rfc -keystore <file> -storepass changeit 
keytool -list -rfc -keystore <file> -storepass changeit -alias server-cert

keytool -list -rfc -keystore <file> -storepass changeit -alias server-cert > server-cert.pem
keytool -list -rfc -keystore <file> -storepass changeit -alias server-cert |openssl x509 -noout -text

提取私钥:jks 不能直接提取私钥:需要转换成pkcs12再提取:
keytool -v importkeystore \
-srckeystore <keystore.jks> -srcstoretype jks -srcstorepass changeit -alias server-cert \
-destkeystore <keystore.p12> -deststoretype PKCS12 -deststorepass 12345678 -destalias server-cert -destkeypass 12345678 -nopromt

导出证书
openssl pkcs12 -in keystore.p12 -passin pass:12345678 -nokeys -out server-cert.cert
导出私钥
openssl pkcs12 -in keystore.p12 -passin pass:12345678 -nocertc -out server.key
毛毛鱼公鸡蛋
关注
专栏目录
java生成jks证_使用openssl生成证转换成java用jks证
weixin_39778003的博客
02-13 1195
1.生成CA证和私钥如果你准备使用公共CA则不需要这一步,但是如果这个证只是在我们自己的服务端和客户端之间使用则只需要使用自己的CA使用openssl之前先要在当前目录下准备一个临时目录结构,如下结构--demoA/|-- index.txt |-- serial |-- newcerts/ |-- private/ 创建CA私钥openssl ...
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证
weixin_34387468的博客
10-20 9102
为什么80%的码农都做不了架构师?>>> ...
openssl 生成证步骤
hinewcc的博客
05-08 4736
本地使用 openssl 生成证
mTLS: openssl创建CA证
Mr_rain的专栏
03-02 1849
可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
openssl签证
最新发布
07-15
快速生成自签证
OpenSSL签证详解
云原生运维
12-25 7060
数字证的基本概念 数字证的标准 X.509版本号:指出该证使用了哪种版本的X.509标准,版本号会影响证中的一些特定信息 序列号:由CA给予每一个证分配的唯一的数字型编号,当证被取消时,实际上是将此证序列号放入由CA签发的CRL(Certificate Revocation List证作废表,或证黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证时所使用的签名算法,常见算法如RSA 签发者信息:颁发证的实体的 X.500 名称信息。它通常为一个 CA 证的有效
openssl签证(https)
Mr_GGD的博客
04-27 862
什么是https? HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:全称:Hyper Text Transfer Protocol over Secure Socket Layer,则是以安全为目标的HTTP通道,简单讲是HTTP的安全版,...
(转)为 Ingress-nginx 配置双向认证(mtls)
senlin1202的博客
05-15 882
这种格式可以保存证和私钥,有时我们也把PEM 格式的私钥的后缀改为 .key 以区别证与私钥。相信 tls 大家都比较熟悉,就是 server 端提供一个授信证,当我们使用 https 协议访问server端时,client 会向 server 端索取证并认证(浏览器会与自己的授信域匹配或弹出不安全的页面)。Java Key Storage,很容易知道这是 JAVA 的专属格式,利用 JAVA 的一个叫 keytool 的工具可以进行格式转换。这就说明服务端认为我们是不可信的,因为没有携带证
gRPC 的 SSL/TLS 加密认证
qq_46457076的博客
02-16 1802
关于 gRPC 的 SSL/TLS 加密认证介绍!
openssl 生成client.jks与server.jks文件的方法
07-05
openssl 生成client.jks与server.jks文件的方法 在做WS安全性设计的时候 利用rampat时候需要使用的jks文件
openssl命令制作生成证和自签名
10-12
openssl命令制作生成证和自签名
基于SSL/TLS双向安全连接设备CA证认证
编程识堂的博客
12-05 4817
SSL/TLS 安全优势 强认证。 用 TLS 建立连接的时候,通讯双方可以互相检查对方的身份。在实践中很常见的一种身份检查方式是检查对方持有的 X.509 数字证。这样的数字证通常是由一个受信机构颁发的,不可伪造。 **保证机密性。**TLS 通讯的每次会话都会由会话密钥加密,会话密钥由通讯双方协商产生。任何第三方都无法知晓通讯内容。即使一次会话的密钥泄露,并不影响其他会话的安全性。 完整性。 加密通讯中的数据很难被篡改而不被发现。 SSL/TLS 协议 TLS/SSL 协议下的通讯过程分为两部
自签名证制作和使用方法
tanghan511的博客
12-07 5749
自签名证安全提示: 浏览器加入自签名证步骤 Firefox CA证导入 通过openssl 制作自签名证 Extension 信息配置 1) Myconf.cnf文件内容 [req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = CN stateOrPro...
java p12 ssl_OpenSSL 1.0.0生成p12、jks、crt等格式SSL数字证的全过程合集
weixin_29516131的博客
02-16 558
在这里跟万维景盛的开发者伙伴们分享OpenSSL 1.0.0生成p12、jks、crt等格式SSL数字证的全过程合集,此生成的证可用于浏览器、java、tomcat、c++等。步骤如下:1.创建根证私钥命令:openssl genrsa -out root-key.key 10242.创建根证请求文件命令:openssl req -new -out root-req.csr -key ro...
OpenSSL创建CA和签发证,转换成java可以加载的jks
Langeldep的专栏
02-04 8223
java的keytool工具本来就可以生成交互式认证的证, 不过其他语言处理交互式认证的流程貌似和java的keytool的认证流程有些差别,  而openssl是比较通用的工具。大部分语言都会支持openssl生成的证文件。用openssl签发的证如何才能转化为keytool的jks文件呢,  就需要用到 ImportKey.java 文件的源码来处理了。CA根证openssl genr
使用OpenSSL签证
约定喵
01-05 4093
目录 文章目录目录一. 名词解释1. CA机构2. SSL 证(SSL Certificates)3. HTTPS(超文本传输安全协议)4. 单向认证5. 双向认证二. 获取证途径三. 使用OpenSSL签证前置准备1. 生成CA证生成步骤注意事项2. 生成服务端证配置文件生成步骤注意事项3. 生成客户端证生成步骤四. 配置证单向认证双向认证五. 吊销列表吊销步骤Nginx使用吊销列表 一. 名词解释 1. CA机构 电子商务认证中心、电子商务认证授权机构。是负责发放和管理数字证的权威机构
openssl创建的自签名证,使用自签发证--指定使用多域名、泛域名及直接使用IP地址...
qq_30665009的博客
07-20 2517
openssl创建的自签名证,使用自签发证--指定使用多域名、泛域名及直接使用IP地址在开发环境及私有环境下需要使用SSL,于是创建自签发证,而必须支持多域名、泛域名、直接IP访问1. Nginx的ssl模块安装详情步骤参考:https://www.cnblogs.com/haolb123/p/15030631.html2. nginx加入systemd管理在目录/lib/systemd/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值