http系列---OpenSSL生成根证书CA及签发子证书

已于 2022-05-18 15:25:16 修改
阅读量1w 收藏 67
点赞数 11
分类专栏: http系列 文章标签: http ssl https
于 2020-11-02 20:18:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lipviolet/article/details/109456104
版权

文章目录

1. 前言

系统:CentOS7 32位

目标:使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。

先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装:

sudo yum install openssl

2. 修改OpenSSL的配置

安装好之后,定位一下OpenSSL的配置文件openssl.cnf:

locate openssl.cnf

在这里插入图片描述
如图,我这里的目录是/etc/pki/tls/openssl.cnf。

修改配置文件,修改其中的dir变量,重新设置SSL的工作目录:
在这里插入图片描述

由于配置文件中,dir变量下还有几个子文件夹需要用到,因此在自定义的文件夹下面也创建这几个文件夹或文件,它们是:

在这里插入图片描述

certs——存放已颁发的证书

newcerts——存放CA指令生成的新证书

private——存放私钥

crl——存放已吊销的证书

index.txt——OpenSSL定义的已签发证书的文本数据库文件,这个文件通常在初始化的时候是空的

serial——证书签发时使用的序列号参考文件,该文件的序列号是以16进制格式进行存放的,该文件必须提供并且包含一个有效的序列号

生成证书之前,需要先生成一个随机数:

openssl rand -out private/.rand 1000

该命令含义如下:

rand——生成随机数

-out——指定输出文件

1000——指定随机数长度

3. 生成根证书

a).生成根证书私钥(pem文件)

OpenSSL通常使用PEM(Privacy Enbanced Mail)格式来保存私钥,构建私钥的命令如下:

openssl genrsa -aes256 -out private/cakey.pem 1024

在这里插入图片描述

该命含义如下:

genrsa——使用RSA算法产生私钥

-aes256——使用256位密钥的AES算法对私钥进行加密

-out——输出文件的路径

1024——指定私钥长度

b).生成根证书签发申请文件(csr文件)

使用上一步生成的私钥(pem文件),生成证书请求文件(csr文件):

openssl req -new -key private/cakey.pem -out private/ca.csr -subj \
"/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

在这里插入图片描述

该命令含义如下:

req——执行证书签发命令

-new——新证书签发请求

-key——指定私钥路径

-out——输出的csr文件的路径

-subj——证书相关的用户信息(subject的缩写)

c).自签发根证书(cer文件)

csr文件生成以后,可以将其发送给CA认证机构进行签发,当然,这里我们使用OpenSSL对该证书进行自签发:

openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey \
private/cakey.pem -in private/ca.csr -out certs/ca.cer

在这里插入图片描述

该命令的含义如下:

x509——生成x509格式证书

-req——输入csr文件

-days——证书的有效期(天)

-sha1——证书摘要采用sha1算法

-extensions——按照openssl.cnf文件中配置的v3_ca项添加扩展

-signkey——签发证书的私钥

-in——要输入的csr文件

-out——输出的cer证书文件

之后看一下certs文件夹里生成的ca.cer证书文件:

在这里插入图片描述

4. 用根证书签发server端证书

和生成根证书的步骤类似,这里就不再介绍相同的参数了。

a).生成服务端私钥

openssl genrsa -aes256 -out private/server-key.pem 1024

b).生成证书请求文件

openssl req -new -key private/server-key.pem -out private/server.csr -subj \
"/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

c).使用根证书签发服务端证书

openssl x509 -req -days 365 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/cakey.pem \
-CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.cer

这里有必要解释一下这几个参数:

-CA——指定CA证书的路径

-CAkey——指定CA证书的私钥路径

-CAserial——指定证书序列号文件的路径

-CAcreateserial——表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀

注意:这里指定的-extensions的值为v3_req,在OpenSSL的配置中,v3_req配置的basicConstraints的值为CA:FALSE,如图:
在这里插入图片描述

而前面生成根证书时,使用的-extensions值为v3_ca,v3_ca中指定的basicConstraints的值为CA:TRUE,表示该证书是颁发给CA机构的证书,如图:
在这里插入图片描述

在x509指令中,有多种方式可以指定一个将要生成证书的序列号,可以使用set_serial选项来直接指定证书的序列号,也可以使用-CAserial选项来指定一个包含序列号的文件。所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。

5. 用根证书签发client端证书

和签发server端的证书的过程类似,只是稍微改下参数而已。

a).生成客户端私钥

openssl genrsa -aes256 -out private/client-key.pem 1024

b).生成证书请求文件

openssl req -new -key private/client-key.pem -out private/client.csr -subj \
"/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

c).使用根证书签发客户端证书

openssl x509 -req -days 365 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/cakey.pem \
-CAserial ca.srl -in private/client.csr -out certs/client.cer

需要注意的是,上方签发服务端证书时已经使用-CAcreateserial生成过ca.srl文件,因此这里不需要带上这个参数了。

至此,我们已经使用OpenSSL自签发了一个CA证书ca.cer,并用这个CA证书签发了server.cer和client.cer两个子证书了:
在这里插入图片描述

6. 导出证书

a).导出客户端证书

openssl pkcs12 -export -clcerts -name myclient -inkey \
private/client-key.pem -in certs/client.cer -out certs/client.keystore

参数含义如下:

pkcs12——用来处理pkcs#12格式的证书

-export——执行的是导出操作

-clcerts——导出的是客户端证书,-cacerts则表示导出的是ca证书

-name——导出的证书别名

-inkey——证书的私钥路径

-in——要导出的证书的路径

-out——输出的密钥库文件的路径

b).导出服务端证书

openssl pkcs12 -export -clcerts -name myserver -inkey \
private/server-key.pem -in certs/server.cer -out certs/server.keystore

c).信任证书的导出

keytool -importcert -trustcacerts -alias www.mydomain.com \
-file certs/ca.cer -keystore certs/ca-trust.keystore

7. 附项目证书目录

在这里插入图片描述
create.ca.sh

#!/bin/sh

# 生成私钥 key 文件
openssl genrsa -out private/ca.key 2048

# 生成证书请求 csr 文件
openssl req -new -key private/ca.key -out private/ca.csr -extensions v3_req -config "./conf/openssl.conf"

# 生成凭证 crt 文件
openssl x509 -req -days 3650 -in private/ca.csr -signkey private/ca.key -out private/ca.crt

# 为我们的 key 设置起始序列号和创建 CA 键库
echo '01' > serial   # 可以是任意四个字符
touch index.txt

# 为 "用户证书" 的移除创建一个证书撤销列表
openssl ca -gencrl -out ./private/ca.crl -crldays 7 -config "./conf/openssl.conf"

craete_certificates.sh

#!/bin/sh

# 查看KEY信息
# openssl rsa -noout -text -in users/client.key
# 查看CSR信息
# openssl req -noout -text -in users/client.csr
# 查看证书信息
# openssl x509 -noout -text -in users/client.crt


########## CA证书 ##########

# 生成私钥 key 文件
openssl genrsa -out private/ca.key 2048

# 生成证书请求 csr 文件
openssl req -new -key private/ca.key -out private/ca.csr -extensions v3_req -config "./conf/openssl.conf"

# 生成凭证 crt 文件
openssl x509 -req -days 365 -extensions v3_req -in private/ca.csr -signkey private/ca.key -out private/ca.crt

# 为我们的 key 设置起始序列号和创建 CA 键库
echo FACE > serial   # 可以是任意四个字符
touch index.txt

# 为 "用户证书" 的移除创建一个证书撤销列表
openssl ca -gencrl -out ./private/ca.crl -crldays 7 -config "./conf/openssl.conf"

########## 服务器证书 ##########

# 创建一个 key
openssl genrsa -out server/server.key 2048

# 为我们的 key 创建一个证书签名请求 csr 文件
openssl req -new -key server/server.key -out server/server.csr -extensions v3_req -config "./conf/openssl.conf"

# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"

########## 客户端证书 ##########

# 为用户创建一个 key
openssl genrsa -des3 -out ./users/client.key 2048

# 为 key 创建一个证书签名请求 csr 文件
openssl req -new -key ./users/client.key -out ./users/client.csr -extensions v3_req -config "./conf/openssl.conf"

# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"

# 将证书转换为大多数浏览器都能识别的 PKCS12 文件
openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12

create_client.sh

#!/bin/sh


# 为用户创建一个 key
openssl genrsa -des3 -out ./users/client.key 2048

# 为 key 创建一个证书签名请求 csr 文件
openssl req -new -key ./users/client.key -out ./users/client.csr -extensions v3_req -config "./conf/openssl.conf"

# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"

# 将证书转换为大多数浏览器都能识别的 PKCS12 文件
openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12

create_server.sh

#!/bin/sh


# 创建一个 key
openssl genrsa -out server/server.key 2048

# 为我们的 key 创建一个证书签名请求 csr 文件
openssl req -new -key server/server.key -out server/server.csr -extensions v3_req -config "./conf/openssl.conf"

# 使用我们私有的 CA key 为刚才的 key 签名
openssl ca -extensions v3_req -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"
lipviolet
关注
  • 11
    点赞
  • 67
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
OpenSSL 生成证书 CA签发证书
君逍遥o
09-06 196
使用 OpenSSL 生成一个 CA证书,并用这个根证书颁发两个证书 server 和 client。
OpenSSL创建根CA签发证书
Remi的博客
06-29 677
Windows下安装配置OpenSSL,建立demoCA文件夹,创建相应文件夹和文件,命令行进入OpenSSL 生成CA密钥 genrsa -out ca.key 2048 生成证书 req -new -x509 -days 7300 -key ca.key -out ca.crt -subj "/C=CN/ST=provin /L=city /O=org /OU= dept /CN=teacher " -subj subj:证书拥有者的信息值,取代证书请求文件中.
Http SSL 即(HTTPS)证书的深入理解及证书管理方法
花飘万家雪
10-14 2384
在Windows下按Windows+ R, 输入certmgr.msc,在“受信任的根证书颁发机构”-“证书中”找到“ROOTCA”,截止日期2025/08/23,单击右键,属性,可以查看其属性“禁用此证书的所有目的”。 点【只启用下列目的】,可以查看根证书可以对计算机有哪些操作: 未经用户许可偷偷添加根证书信任是非常严重的行为! 关键点在未经用户许可,这种行为好比,你请某宝到你家来做客...
JAVA8 通过根证书及私钥生成证书
u010590805的博客
11-18 819
JAVA8 通过根证书及私钥生成证书
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 1979
本地使用 openssl 生成证书
OpenSSL_3.0.3 编译库 32-bit
05-31
OpenSSL_3.0.3 最新版本库 32-bit,采用 VS2022 版本进行编译,Perl 和 NASM 均为官方最新版本,测试通过,可以正常使用。因没办法同时上传两个压缩包,因此分两次上传 32位和 64位版本库。
HttpHttps区别,加密,证书
lincoco49的博客
07-03 995
1.HTTPHTTPS区别 https与http相比,其在数据传输过程中对数据进行了加密,加密技术主要有对称加密和非对称加密两种。 2.对称加密/非对称加密 对称加密是指数据发送方和接收方在对数据进行加密和解密时使用的是同一个密钥,由于该密钥仅在当前双方用户之间使用,且在双方互不认识的时候,密钥需要通过网络传输进行传输,因此对称密钥有在传输过程中被截获的风险 非对称加密是指解密密钥和加密...
http证书
l13914988741的专栏
11-29 2748
目录约定 /usr/local/nginx/conf/certificate/ ca 目录是签发其他证书的根 server 目录存储服务器证书,实际上服务器证书不由自己签发,应该购买或者使用let encrypt生成 client 目录存储客户端证书,这个在使用双向认证时才使用。而且需要转成pkcs#12格式。 创建各种证书的方法: 简单科普:*.key表示私钥文件,*.pub表示公钥文件,*.csr表示签名请求文件,*.crt表示证书文件。也有些机构或者人不区分.key和.pub,这里私钥文件名都会加_p
httphttps和数字证书的相关知识
笔记小屋
06-25 1864
https 对http进行了封装,http超文本传输协议,明文协议,于是容易被获取重要信息。变采用了基于ssl加密的https协议,用与客户端、服务器的数据传输。 数字签名 两个机器之间通信,公钥是公开的,那么公钥和机器怎么对应上?你说A机器的公钥是这个,但是也可能让人给改了,改成了别人的公钥,需要一个国际认证机构来管理和认证,他们来认证公钥与网站的映射关系。 SSL 在网站通过SSL来与用户建立...
OpenSSL 编程 二:搭建 CA
OnlyLove_的博客
06-26 8219
证书 – 为公钥加上数字签名证书是由认证机构颁发的,使用者需要对证书进行验证,因此如果证书的格式千奇百怪那就不方便了。于是,人们制定了证书的标准规范,其中使用最广泛的是由ITU(International TelecommumcationUnion,国际电信联盟)和ISO(IntemationalOrganizationforStandardization, 国际标准化组织)制定的X.509规范。很多应用程序都支持x.509并将其作为证书生成和交换的标准规范。X.509是一种非常通用的证书格式。所有的证书
OpenSSL生成证书(自签证书)--待续。。。
一壶兔的博客
10-30 713
参考: OpenSSL生成证书
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
OpenSSL 生成 CA 证书 PKCS#12 PEM 格式转换 OpenSSL 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持 SSL/TLS 协议的实现。 OpenSSL 工具箱中包含了大量实用的命令和选项,...
Linux下使用openssl制作CA证书颁发[参考].pdf
10-11
2. 生成 CA 的私钥和自签名证书(即根证书) 3. 创建一个配置文件,以便后续 CA 日常操作中使用 4. CA 的日常操作,包括创建私钥、查看创建的密钥、创建请求文件、查看创建的请求文件、根据证书申请请求签发证书等 5...
certstrap:用于引导CA证书请求和签名证书的工具
01-28
证书陷阱 一个用Go编写的简单证书管理...这将在项目根文件夹下生成一个名为certstrap的二进制文件。 初始化新的证书颁发机构: $ ./certstrap init --common-name "CertAuth" Created out/CertAuth.key Created out/
Linux下用Openssl生成证书
03-12
用openssl签发ssl x.509证书 建立根证书: 制做服务器端的证书并用ca签名: 生成crt格式 生成cer格式
HTTP:SSL证书简介!
Mr_chen的博客
09-29 1437
HTTP:SSL证书简介! 前言 今天博主将为大家分享HTTP:SSL证书简介!不喜勿喷,如有异议欢迎讨论! 有一个强大的地基才能写出健壮的程序!之前发的HTTPS一定要看一下哦:HTTPHTTPHTTPS的区别及概要! SSL证书 从上一章HTTPS简介我们可以了解到HTTPS核心的一个部分是数据传输之前的握手,握手过程中确定了数据加密的密码。在握手过程中,网站会向浏览器发送SSL证...
OpenSSL命令大全,CA证书生成,客户端证书生成实例
热门推荐
程序员精进之路
09-29 2万+
1.X509证书链 x509证书一般会用到三类文件,key,csr,crt。 Key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 2.openssl文件说明 ....
自签名根证书、中间证书、服务器证书生成流程详解
N阶二进制的博客
12-01 3059
在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。至此,你已经生成了一个由中间证书签署的服务器证书。至此,你已经生成了一个由根证书签署的中间证书。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。生成自签名的根证书(Root Certificate)的过程包括生成私钥、生成自签名的根证书生成服务器证书的步骤与生成中间证书和根证书类似。
nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(根证书、server证书、client证书)...
05-17
在 CentOS 系统下,可以使用 OpenSSL 工具来生成 CA 证书、服务器证书和客户端证书。下面是生成证书的详细步骤: 1. 安装 OpenSSL 工具: ```bash sudo yum install openssl ``` 2. 生成证书: ```bash # 生成私钥 openssl genrsa -out ca.key 2048 # 生成证书 openssl req -new -key ca.key -out ca.csr openssl x509 -req -days 3650 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt ``` 3. 生成服务器证书: ```bash # 生成私钥 openssl genrsa -out server.key 2048 # 生成证书签名请求 openssl req -new -key server.key -out server.csr # 生成服务器证书 openssl x509 -req -days 3650 -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt ``` 4. 生成客户端证书: ```bash # 生成私钥 openssl genrsa -out client.key 2048 # 生成证书签名请求 openssl req -new -key client.key -out client.csr # 生成客户端证书 openssl x509 -req -days 3650 -extensions v3_req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt ``` 以上步骤中,需要根据实际情况填写证书信息。在生成证书的过程中,需要注意以下几点: - 在生成证书时,使用 `-extensions v3_ca` 参数指定证书类型为根证书。 - 在生成服务器证书和客户端证书时,使用 `-extensions v3_req` 参数指定证书类型为服务器证书或客户端证书。 - 在生成服务器证书和客户端证书时,使用 `-CA` 参数指定签名证书为根证书,使用 `-CAkey` 参数指定签名证书的私钥为根证书的私钥,使用 `-CAcreateserial` 参数生成序列号。 生成证书之后,需要将根证书 `ca.crt` 分发给需要验证证书的客户端。服务器证书 `server.crt` 和私钥 `server.key` 需要配置在 Nginx 服务器中,用于 HTTPS 通信。客户端证书 `client.crt` 和私钥 `client.key` 用于客户端身份验证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lipviolet

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值