使用Openssl生成自签证书

最新推荐文章于 2024-09-27 07:00:00 发布
最新推荐文章于 2024-09-27 07:00:00 发布
阅读量9.2k 收藏 65
点赞数 10
分类专栏: linux tls nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luo15242208310/article/details/108127638
版权
linux 同时被 3 个专栏收录
6 篇文章 1 订阅
订阅专栏
tls
6 篇文章 0 订阅
订阅专栏
nginx
3 篇文章 0 订阅
订阅专栏

目录

证书生成流程

openssl genrsa
openssl req
openssl x509
openssl genrsa
openssl req
openssl ca
openssl genrsa
openssl req
openssl ca
start
ca.key
ca.csr
ca.cert
server.key
server.csr
server.cert
ca.key
ca.cert
client.key
client.csr
client.cert
ca.key
ca.cert

生成CA

# 生成CA私钥(ca.key)
openssl genrsa -des3 -out ca.key 2048 
# 生成CA证书签名请求(ca.csr)
openssl req -new -key ca.key -out ca.csr
# 生成自签名CA证书(ca.cert)
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

生成Server证书

# 生成服务端私钥(server.key)
openssl genrsa -des3 -out server.key 2048 
# 生成服务端证书签名请求(server.csr)
openssl req -new -key server.key -out server.csr
# 使用ca证书签署服务端csr以生成服务端证书(server.cert)
openssl ca -days 3650 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

生成Client证书(用于双向认证)

# 生成客户端私钥(client.key)
openssl genrsa -des3 -out client.key 2048
# 生成客户端证书签名请求(client.csr)
openssl req -new -key client.key -out client.csr
# 使用ca证书签署客户端csr以生成客户端证书(client.cert)
openssl ca -days 3650 -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

查看证书内容

openssl x509 -in server.crt -noout -text

在这里插入图片描述

生成证书时遇到的问题

问题1:生成证书时的subject具体含义
Subject: C=CN, ST=ln, L=sy, O=mx, OU=tsp2, CN=localhost

C = countryName=国家
S = stateOrProvinceName=省
L = localityName=城市
O = organizationName=公司
OU = organizationalUnitName=部门
CN = commonName=域名

问题2:提示./demoCA/newcerts不存在

在使用ca证书签署server证书时,遇到如下错误:提示./demoCA/newcerts不存在,可按照如下操作在当前工作目录新建demoCA, demoCA/newcerts, demoCA/index.txt, demoCA/serial,并设置serial内容为01+空行
在这里插入图片描述在这里插入图片描述

问题3:重复生成同commonName证书后,提示:证书已存在

在这里插入图片描述
相同域名重新生成client.csr时会提醒there is already a certificate已经有一个证书了。那就把当前证书撤销,然后再重新运行即可。其中01.pem为demoCA/newcerts下的多个pem文件之一,默认按照创建顺序01, 02, …,需要自行确定pem中commonName为重复的域名后,方可吊销对应pem。
在这里插入图片描述
撤销证书命令如下:

openssl ca -keyfile ca.key -cert ca.crt -revoke .\demoCA\newcerts\01.pem

配置Nginx证书

例如按照上述生成CA、生成Server证书的流程,生成localhost的证书(则生成server证书时需要指定commonName为localhost,通常commonName即为服务器对应的域名),生成完成后将本地Nginx上443端口配置生成的server.cert, server.key,配置如下:

    # HTTPS server
    server {
        listen       443 ssl;
        server_name  localhost;
    
        ssl_certificate      D:/work_dir/CA/mqtt/server.crt;
        ssl_certificate_key  D:/work_dir/CA/mqtt/server.key;
        # https双向认证
        #ssl_verify_client on;
        #ssl_client_certificate ca.crt;
           
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
    
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
    
        location / {
            root   html;
            index  index.html index.htm;
        }
    }

启动Nginx后,发现443并未好用,查看Nginx错误日志发现如下报错:

2020/08/21 14:36:18 [emerg] 5588#20032: 
cannot load certificate key "D:/work_dir/CA/mqtt/server.key": PEM_read_bio_PrivateKey() failed (
SSL: error:2807106B:UI routines:UI_process:processing error:
while reading strings error:0906406D:PEM routines:PEM_def_callback:
problems getting password error:0906A068:
PEM routines:PEM_do_header:bad password read
)

nginx启动的时候需要输入server.key的密码,解决办法是可以使用原key来生成解密后的key,并以解密后的key来代替,如下通过原server.key生成解密后的server_unsecure.key:

openssl rsa -in server.key -out server_unsecure.key

之后修改Nginx配置文件如下:
在这里插入图片描述
重新加载nginx后,即可访问该Https证书了
在这里插入图片描述

Chrome中自签证书不安全问题

导入自签CA证书到操作系统

关于证书不安全的提示,是由于我们自签名的CA证书不是权威机构,操作系统不承认所导致,可以将我们自己的CA安装到操作系统中
在这里插入图片描述
在windows系统可通过运行certmgr.msc来查看本地已安装证书:
在这里插入图片描述
在导入ca证书后,浏览器仍提示"不安全"
在这里插入图片描述

设置证书"使用者可选名称SAN"

查询相关资料后发现,新的chrome浏览器需要为自签证书设置SAN(使用者可选名称,subject alternative name)
在这里插入图片描述
关于openssl设置SAN可以参考:使用openssl为ssl证书增加“使用者备用名称(DNS)”
我在学习ssl阶段使用的openssl命令,后续操作的时候都使用xca(一个生成证书的图形化工具),在xca中设置SAN如下:
在这里插入图片描述
重新生成证书、重新加载配置后,可以发现此时浏览器不再报"不安全"了,同时查看证书可以发现"使用者可选名称"已被添加
在这里插入图片描述在这里插入图片描述

使用OpenSSL生成/签发证的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证签名请求(.csr)2.3 (可选)直接同时生成私钥和证签名请求2.4 将证申请请求(.csr)提交给CA认证机构申请证(.crt)2.5 CA机构生成CA链3 生成自签名证3.1 创建私钥(.key)3.2 基于私钥(.key)创建证签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证签名请求(.csr
OpenSSL签证详解
云原生运维
12-25 7099
数字证的基本概念 数字证的标准 X.509版本号:指出该证使用了哪种版本的X.509标准,版本号会影响证中的一些特定信息 序列号:由CA给予每一个证分配的唯一的数字型编号,当证被取消时,实际上是将此证序列号放入由CA签发的CRL(Certificate Revocation List证作废表,或证黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证时所使用的签名算法,常见算法如RSA 签发者信息:颁发证的实体的 X.500 名称信息。它通常为一个 CA的有效
openssl签证
小x的博客
07-26 623
//生成CA 密钥 openssl genrsa -out ca-key.pem 2048 // 生成CA openssl req \ -outform pem -out ca-cert.pem \ -key ca-key.pem -new -x509 \ -days 3650 \ -subj "/CN=trend.com/O=Example Co./OU=Engineering/L=Boston/ST=MA/C=US" //如果没有"basicConstr
openssl签证
weixin_46164213的博客
02-27 409
安装nginx yum -y install nginx 查看是否有nginx 的ssl模板 [root@ chen5 ~]# nginx -V nginx version: nginx/1.16.1 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2k-fips 26 Jan 2017 ...
服务器Ubuntu18.06下安装nginx-1.23.3的过程、Nginx的SSL证使用密码生成的命令以及nginx监听端口6000后的ERR_UNSAFE_PORT问题
最新发布
本博客记录了从2014年以来在工作学习中遇到的技术问题、解决方法以及部分个人人生经历、经验等内容。
09-27 1049
但安装好之后发现chrome浏览器也中风了,打开也是一样报错:网址为 **.** 的网页可能暂时无法连接,或者它已永久性地移动到了新网址,发现下面有一个错误码:ERR_UNSAFE_PORT,了解了一下发现这是浏览器认为不安全的端口导致的,google chrome自定义了一套默认非安全端口列表,真是操蛋啊,原来是浏览器自己当家做主了。所以这种版本根本没法用。这是因为默认的方式是在 nginx 启动重启的时候输入证密码,但这也太麻烦了,可以使用私钥来生成解密后的 key 来代替,一般也都是这样处理。
OpenSSL签证
LeoForBest的博客
11-24 522
OpenSSL签证OpenSSL 签发证命令网页 内网搭建https时需要用到自签证,顺手用前端弄了个网站方便生成 OpenSSL 签发证命令 # 生成根证 openssl genrsa -out example.com.key 2048 openssl req -x509 -new -nodes -key example.com.key -subj "/CN=example.com" -days 5000 -out example.com.crt # 生成服务证请求 openss
使用OpenSSL签证
约定喵
01-05 4183
目录 文章目录目录一. 名词解释1. CA机构2. SSL 证(SSL Certificates)3. HTTPS(超文本传输安全协议)4. 单向认证5. 双向认证二. 获取证途径三. 使用OpenSSL签证前置准备1. 生成CA生成步骤注意事项2. 生成服务端证配置文件生成步骤注意事项3. 生成客户端证生成步骤四. 配置证单向认证双向认证五. 吊销列表吊销步骤Nginx使用吊销列表 一. 名词解释 1. CA机构 电子商务认证中心、电子商务认证授权机构。是负责发放和管理数字证的权威机构
使用 OpenSSL 创建生成CA服务器客户端证及密钥
01-16
在测试环境中,你可以自签证,但在生产环境中,应该使用权威的公共CA或者购买商业证,以提高用户的信任度。 总结来说,OpenSSL 提供了生成和管理SSL证的全套工具,通过创建CA、服务器证和客户端证,...
使用openssl生成自签名证
06-13
使用openssl生成IIS可用的SHA-256自签名证 超详细步骤!
使用OpenSSL生成签证
zpsimon的博客
10-13 1967
使用openssl创建自签名证
使用openssl生成签证
weixin_47462906的博客
07-24 284
使用openssl生成签证
openssl签证(带ip或者域名)
cloudfantasy的博客
04-09 5051
openssl.cnf # To use this configuration file with the "-extfile" option of the # "openssl x509" utility, name here the section containing the # X.509v3 extensions to use: # extensions = # (Alternatively, use a configuration file that has only # X....
openssl 生成签证
曾文锋开发日志
02-01 981
在要生成的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt ./demoCA/serial,在serial文件中写入第一个序列号“01” 1.生成X509格式的CA自签名证 $openssl req -new -x509 -keyout ca.key -out ca.crt 2.生成服务端的私钥(ke...
OpenSSL 生成自签名证
HD243608836的博客
04-18 1259
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证 的天数完成:cmd在哪里运行的,生成的证会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
Windows下使用OpenSSL生成自签名证
xuanyushifeng的博客
02-26 7462
Windows下使用OpenSSL生成自签名证 1、下载OpenSSL安装包,安装完后,目录结构如下: 安装完成后,在系统环境变量里面添加路径。 2、在随便位置创建ssl文件夹,我是在D盘根目录下创建ssl文件夹(名称随便取),用于存放生成的证文件。 3、打开CMD命令窗口,切换到SSL文件夹路径,输入命令openssl回车。 (1)输入命令:genrsa -des3 -out mycert...
openssl生成签证
wl21787的博客
07-09 2437
文章目录openssl基础信息查看openssl版本查看版本更详细的信息生成签证在确定配置为CA的服务器上生成一个自签证生成CA根密钥生成CA签证要用到证进行安全通信的服务器,需要向CA请求签署证生成私钥生成签署请求将请求通过可靠方式发送给CA主机在CA主机上签发证遇到的问题:吊销证在客户端获取要吊销的证的serial在CA服务器吊销证根据上一步查到的serial,吊销相应的证生成吊销证的吊销编号(第一次吊销证时执行)更新证吊销列表查看crl文件 openssl基础信息 查
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

罗小爬EX

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值