openssl生成CA证书

最新推荐文章于 2024-08-21 10:19:27 发布
最新推荐文章于 2024-08-21 10:19:27 发布
阅读量426 收藏 2
点赞数 2
文章标签: openssl linux
原文链接:https://blog.csdn.net/cowbin2012/article/details/100134114
版权
本文详细介绍了如何使用OpenSSL生成CA根证书和用户证书,包括服务器端和客户端证书的创建过程。通过生成私钥、证书请求文件以及自签名证书,可以实现自签名证书的使用,这对于开发环境中避免购买第三方证书是一条经济有效的途径。同时,文章还提到了一些注意事项,如证书链的概念、证书文件的后缀名以及在不同平台上的配置问题。
摘要由CSDN通过智能技术生成

openssl生成CA证书

https://blog.csdn.net/cowbin2012/article/details/100134114

什么是x509证书链

  • x509证书一般会用到三类文件,key,csr,crt。
  • key是私用密钥,openssl格式,通常是rsa算法。
  • csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
  • crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。

概念

证书类别

  • 根证书 生成服务器证书,客户端证书的基础。自签名。
  • 服务器证书 由根证书签发。配置在服务器上。
  • 客户端证书 由根证书签发。配置在服务器上,并发送给客户,让客户安装在浏览器里。

要注意

  • 服务器证书的cn要和servername一致,否则启动httpd时有警告。
  • 浏览器安装客户端证书时,需要用pkcs12转换成pfx格式,否则可以安装但无效。
  • 把根证书安装到浏览器的受信CA中,访问服务器时就不会出警告了。

首先要有一个CA根证书,然后用CA根证书来签发用户证书。用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。

openssl中有如下后缀名的文件

  • .key格式:私有的密钥
  • .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
  • crt格式:证书文件,certificate的缩写
  • .crl格式:证书吊销列表,Certificate Revocation List的缩写
  • .pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
  • .p12 "或者 “.pfx” : 用于实现存储许多加密对象在一个单独的文件中。通常用它来打包一个私钥及有关的 X.509 证书,或者打包信任链的全部项目。

CA根证书的生成步骤

生成CA私钥(.key)–>生成CA证书请求(.csr)–>自签名得到根证书(.crt)(CA给自已颁发的证书)。

# Generate CA private key (制作ca.key 私钥)
openssl genrsa -out ca.key 2048

# Generate CSR 
openssl req -new -key ca.key -out ca.csr

#OpenSSL创建的自签名证书在chrome端无法信任,需要添加如下
echo "subjectAltName=DNS:rojao.test.com,IP:10.10.2.137" > cert_extensions

# Generate Self Signed certificate(CA 根证书)
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -extfile cert_extensions -out ca.crt

整个提示将如下所示:

OutputCountry Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Rojao, Inc.
Organizational Unit Name (eg, section) []:R&D Department
Common Name (e.g. server FQDN or YOUR name) []:Rojao CA ROOT
Email Address []:ynz@rojao.cn

在实际的软件开发工作中,往往服务器就采用这种自签名的方式,因为毕竟找第三方签名机构是要给钱的,也是需要花时间的。

用户证书的生成步骤

生成私钥(.key)–>生成证书请求(.csr)–>用CA根证书签名得到证书(.crt)

服务器端用户证书

# private key
openssl genrsa -des3 -out server.key 2048 

# generate csr
openssl req -new -key server.key -out server.csr

#OpenSSL创建的自签名证书在chrome端无法信任,需要添加如下
echo "subjectAltName=DNS:rojao.test.com,IP:10.10.2.137" > cert_extensions

# generate certificate
openssl ca -in server.csr -out server.crt  -extfile cert_extensions -cert ca.crt -keyfile ca.key

最重要的一行是Common Name (e.g. server FQDN or YOUR name)那一行。您需要输入与服务器关联的域名,或者是您服务器的公共IP地址。

整个提示将如下所示:

OutputCountry Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Guangdong
Locality Name (eg, city) []:Guangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Rojao, Inc.
Organizational Unit Name (eg, section) []:R&D Department
Common Name (e.g. server FQDN or YOUR name) []:10.10.2.137
Email Address []:ynz@rojao.cn

假如报错:/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt

解决:创建/etc/pki/CA/index.txt文件

mkdir -p CA/newcerts
touch CA/index.txt
touch CA/serial
echo “01” > CA/serial

客户端用户证书

openssl genrsa -des3 -out client.key 1024 

openssl req -new -key client.key -out client.csr

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

报错:failed to update database
TXT_DB error number 2
删除之前创建的 index.txt serial 文件后重建

证书导出

生成pem格式证书

有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成

cat client.crt client.key> client.pem 

cat server.crt server.key > server.pem

结果:

服务端证书:ca.crt, server.key, server.crt, server.pem
客户端证书:ca.crt, client.key, client.crt, client.pem

生成pfx(p12)格式 证书

openssl pkcs12 -export -in server.crt -out server.p12 -inkey server.key
randomain
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
openssl自建CA生成证书
lyzkks的博客
04-07 4067
查看openssl版本 openssl version 使用openssl加密和解密文件 加密文件 opnessl有一个子命令enc,他可以用来加密文件,具体参数如下: -ciphername:指定加密算法 -in filename:指定加密的文件 -out filename:指定加密后的文件 -salt:加盐(更强的安全性,是默认选项) -...
OpenSSL 生成CA证书及终端用户证书
m0_63174811的博客
11-20 646
3、生成ca证书签发请求,得到ca.csr $ openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf 配置文件中已经有默认值了,shell交互时一路回车就行。 4、生成ca证书,得到ca.crt $ openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt 三、生成服务端证书 1、配置文件 准备配置文件,得到server.conf,内容如下: [ re
openssl创建CA证书教程
justlpf的专栏
09-21 3698
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1766
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
openssl 生成自签名证书以及CA证书
jxhaha的博客
06-18 1543
这里涉及到一个server.ext,这是为了适应现代浏览器SSL证书标准。和root.ext类似,需要手动创建,内容如下。这里涉及到一个ca_intermediate.ext,和root.ext类似,需要手动创建,内容如下。执行命令后,会提示你输入一些内容,请按照提示输入,每一项输入的内容需要自己记住。中间证书的制作过程与根证书类似,这里直接将命令贴上。中间证书的制作过程与根证书类似,这里直接将命令贴上。进一步输入一下命令进行验证。结果中必须包含如下类容。执行结果应该和下面一致。输出结果应该如下所示。
openssl生成CA证书,服务端证书,客户端证书
Amorbcbc的博客
07-10 1096
1.2将OpenSSL-Win64\bin\cnf中的openssl.cnf复制到上述新建的ssl目录中。参考这篇博客,将其中的一些换成了windows的命令行,记录一下方便自己以后查看。回到ssl目录,将新建的证书保存在其中。
OpenSSL ca证书命令操作详解
N阶二进制的博客
11-10 1580
OpenSSLca命令用于操作证书颁发机构(CA,Certificate Authority)的操作,包括签发、撤销和管理证书。以下是 OpenSSL 版本 3.0 中openssl ca命令的详细使用手册。请注意,由于文本长度限制,以下内容可能不包含所有参数的详细说明。你可以使用命令在终端中获取帮助信息。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
openssl生成ca证书和服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
利用openssl生成CA证书的方法及证书
12-26
本文将详细阐述如何利用OpenSSL生成CA证书以及相关的证书文件。 首先,我们需要理解证书的用途。在互联网通信中,证书用于验证服务器或客户端的身份,确保数据在传输过程中不被篡改。它们由证书签名请求(CSR)生成...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
OpenSSL 生成 CA 证书 PKCS#12 PEM 格式转换 OpenSSL 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持 SSL/TLS 协议的实现。 OpenSSL 工具箱中包含了大量实用的命令和选项,...
OpenSSL 一键生成证书
08-10
这个项目通过批处理脚本实现了自动化,为研发人员提供了"一键生成CA证书"、"一键生成Server证书"和"一键生成Client证书"的功能。 1. **CA证书(Certificate Authority)**:CA证书是用于签署其他证书的权威证书,它...
openssl创建CA并签发证书
健忘16的博客
02-16 3670
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
openssl生成ca证书流程
u013078871的博客
01-12 1336
先说总体流畅,下面再说具体的实施步骤 总体流程:
基本OpenSSL自建本地CA和签发用户证书
qq19970496的博客
10-28 1304
基本OpenSSL自建本地CA和签发用户证书
openssl安装,openssl生成私钥以及openssl生成证书
weixin_40754174的博客
04-04 1460
openssl安装、安装perl工具、下载openssl
使用OpenSSL颁发CA证书
weixin_33835103的博客
08-14 131
使用OpenSSL颁发CA证书 CA服务器端 使用cd 切换到/etc/pki/CACA下使用命令(umask 66; openssl genrsa 2048 > private/cakey.pem)生成CA证书的私钥; 使用命令 ll private验证 使用命令openssl req -new -x509 -key private/cakey.p...
Linux上构建Windows应用程序:深入探索跨平台开发的实践与挑战
最新发布
w651428055的博客
08-21 563
Linux上构建Windows应用程序,不仅拓宽了开发者的技能范围,也为软件产品的多平台部署提供了灵活性和成本效益。虽然这一过程面临挑战,但通过合理选择工具、框架和策略,可以有效地克服这些障碍。随着技术的不断进步,跨平台开发将变得更加成熟和便捷,为软件开发带来更多的可能性和机遇。未来,随着更多高效工具和框架的出现,跨平台开发的效率和质量有望进一步提升,为软件工程领域注入新的活力。
如何使用openssl生成ca证书
07-25
要使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令生成一个新的私钥文件(例如ca.key): ```shell openssl genrsa -out ca.key 2048 ``` 这将生成一个2048位的RSA私钥文件。 3. 创建证书请求:使用私钥文件创建证书请求(CSR)。运行以下命令: ```shell openssl req -new -key ca.key -out ca.csr ``` 在运行命令后,你需要提供一些组织和地理位置信息。 4. 自签名证书:使用CSR文件自签名证书。运行以下命令: ```shell openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 这将生成自签名的CA证书文件(例如ca.crt)。 5. 验证证书:你可以使用以下命令验证生成证书: ```shell openssl x509 -in ca.crt -text -noout ``` 这将显示证书的详细信息,包括颁发者、有效期等。 现在你已经成功生成了自签名的CA证书。请注意,这只是一个简单示例,用于了解如何使用OpenSSL生成CA证书。在实际使用中,你可能需要更多的配置和选项来满足你的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值