OpenSSL自签发证书并实现浏览器的安全访问

最新推荐文章于 2024-06-20 00:28:32 发布
最新推荐文章于 2024-06-20 00:28:32 发布
阅读量913 收藏 14
点赞数 8
文章标签: 安全 iphone 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/137550463
版权
本文详细描述了如何在Linux服务器上通过OpenSSL创建自签名SSL证书,生成CSR,配置Nginx以443端口启用SSL,以及解决Chrome导入证书后无法安全访问的问题,包括清理缓存和正确设置SSL扩展文件。
摘要由CSDN通过智能技术生成

前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:
不允许这样的情况存在,这就需要使用 openssl 进行自签解决。
![image.png](https://img-
blog.csdnimg.cn/img_convert/655eff9aadb05b58a9d5fdc0f4ca9c34.png#averageHue=#fefdfd&clientId=u4bd52b58-baa1-4&from=paste&height=590&id=u5adf1bb5&name=image.png&originHeight=738&originWidth=1611&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=50821&status=done&style=none&taskId=u27be95b4-f400-4551-a998-1bfd708ff36&title=&width=1288.8)

1.OpenSSL 自签证书

1.1 安装openssl

[root@master1 ~]# yum install openssl openssl-devel -y

1.2 创建证书存放位置

[root@master1 ~]# mkdir -p /etc/ssl/private

1.3 生成SSL key和CSR

    192.168.199.120为安装好的网站服务机器
     写入脚本



vim sh.sh
#!/bin/bash

openssl req -new -newkey rsa:2048 -sha256 -nodes -out 192.168.199.120.csr -keyout 192.168.199.120.key -subj "/C=CN/ST=Beijing/L=Beijing/O=Super Inc./OU=Web Security/CN=192.168.199.120"

openssl x509 -req -days 365 -in 192.168.199.120.csr -signkey 192.168.199.120.key -out 192.168.199.120.crt -extfile http.ext
~ 



[root@master1 private]#
[root@master1 private]# sh sh.sh
192.168.199.120.crt  192.168.199.120.csr  192.168.199.120.key   sh.sh
[root@master1 private]#

1.4 在nginx修改配置文件

前提
nginx必须支持ssl 如果没有ssl模块需要先添加nginx模块

[root@master1 private]# /usr/local/nginx/sbin/nginx -V
nginx version: nginx/1.22.0
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.0.2k-fips  26 Jan 2017
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx/ --user=www --group=www --with-http_ssl_module --with-http_stub_status_module --with-pcre
[root@master1 private]#

修改nginx配置文件
修改端口号 并且添加ssl

    server {
        listen       443 ssl;
        server_name  localhost;


        ssl_certificate    /etc/ssl/private/192.168.199.120.crt;
        ssl_certificate_key  /etc/ssl/private/192.168.199.120.key;
        ssl_session_cache   shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;



        location / {
            root   html;
            index  index.html index.htm;
        }
        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
}





[root@master1 private]# /usr/local/nginx/sbin/nginx -t
nginx: the configuration file /usr/local/nginx//conf/nginx.conf syntax is ok
nginx: configuration file /usr/local/nginx//conf/nginx.conf test is successful
[root@master1 private]# /usr/local/nginx/sbin/nginx -s reload
[root@master1 private]#

2.将生成的crt证书导入到chrome浏览器

将192.168.199.120.crt下载到桌面 并导入到chrome
步骤:
浏览器—设置—隐私设置和安全性—安全—管理设备证书—导入证书(在收信人的根证书办法机构)
![image.png](https://img-
blog.csdnimg.cn/img_convert/309f68c6c4552784314dd692ab54ba63.png#averageHue=#f1f0ef&clientId=u4bd52b58-baa1-4&from=paste&height=551&id=uc16a6a3b&name=image.png&originHeight=689&originWidth=744&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=45195&status=done&style=none&taskId=u8e464efe-3937-47e5-a136-871884fa69e&title=&width=595.2)
在chrome浏览器导入证书访问
![](https://img-
blog.csdnimg.cn/img_convert/655eff9aadb05b58a9d5fdc0f4ca9c34.png#averageHue=#fefdfd&from=url&id=kqEqZ&originHeight=738&originWidth=1611&originalType=binary&ratio=1.25&rotation=0&showTitle=false&status=done&style=none&title=)

还是不能够安全的访问

3.解决谷歌导入证书不能安全访问的问题

3.1 删除所有生成的ssl文件

[root@master1 private]# rm -rf 192*

3.2 删除添加到本地的crt认证证书

![image.png](https://img-
blog.csdnimg.cn/img_convert/299f7884aaf88e760d7c291561a93479.png#averageHue=#f2f0ee&clientId=u4bd52b58-baa1-4&from=paste&height=401&id=u8f2b6365&name=image.png&originHeight=501&originWidth=691&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=37697&status=done&style=none&taskId=u299fa881-5d8a-44c6-9197-af32ae967ce&title=&width=552.8)

3.3 创建一个http.ext文件

[root@master1 private]# vim http.ext 

keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]
IP.1=127.0.0.1
IP.2=192.168.199.120   指定需要访问的ip

3.4 在生成key的ssl后面添加-extfile http.ext

#!/bin/bash
openssl req -new -newkey rsa:2048 -sha256 -nodes -out 192.168.199.120.csr -keyout 192.168.199.120.key -subj "/C=CN/ST=Beijing/L=Beijing/O=Super Inc./OU=Web Security/CN=192.168.199.120"

openssl x509 -req -days 365 -in 192.168.199.120.csr -signkey 192.168.199.120.key -out 192.168.199.120.crt -extfile http.ext

3.5 重新运行脚本

[root@master1 private]# sh sh.sh 
Generating a 2048 bit RSA private key
......................................................................+++
........................+++
writing new private key to '192.168.199.120.key'
-----
Signature ok
subject=/C=CN/ST=Beijing/L=Beijing/O=Super Inc./OU=Web Security/CN=192.168.199.120
Getting Private key
[root@master1 private]# ls
192.168.199.120.crt  192.168.199.120.csr  192.168.199.120.key  http.ext  sh.sh
[root@master1 private]#

3.6 重新在本地端导入证书

![image.png](https://img-
blog.csdnimg.cn/img_convert/3fa4fcfa4dd3c5bcec62577bee34c218.png#averageHue=#f2f0ef&clientId=u4bd52b58-baa1-4&from=paste&height=390&id=u653d0213&name=image.png&originHeight=488&originWidth=730&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=41781&status=done&style=none&taskId=u6a6b39d0-4699-406d-ba12-48eb78ed223&title=&width=584)
重点
清空浏览器缓存
重新加载nginx配置文件
![image.png](https://img-
blog.csdnimg.cn/img_convert/1a752bdfc341e28e728832de9e74f524.png#averageHue=#e3e3e3&clientId=u4bd52b58-baa1-4&from=paste&height=513&id=u3f50572f&name=image.png&originHeight=641&originWidth=714&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=48352&status=done&style=none&taskId=u8497410c-261a-4e96-af40-7837638a1be&title=&width=571.2)

[root@master1 private]# /usr/local/nginx/sbin/nginx -s reload

4.访问

![image.png](https://img-
blog.csdnimg.cn/img_convert/6ba66c55b5017e0f1667183c84124fcb.png#averageHue=#fbfafa&clientId=u4bd52b58-baa1-4&from=paste&height=418&id=u443a7e2f&name=image.png&originHeight=522&originWidth=1328&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=60783&status=done&style=none&taskId=u7497f4bf-d174-4389-aa1c-44fabce13b1&title=&width=1062.4)![image.png](https://img-
blog.csdnimg.cn/img_convert/1a5552b36cab5e72c2642cbc83fbbb3a.png#averageHue=#e3bd8b&clientId=u4bd52b58-baa1-4&from=paste&height=827&id=u8ef8ce0d&name=image.png&originHeight=1034&originWidth=1379&originalType=binary&ratio=1.25&rotation=0&showTitle=false&size=111032&status=done&style=none&taskId=u6df9f61b-498e-416f-b186-300d723bdaa&title=&width=1103.2)

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

教IT的小强
关注
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成自签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 1855
自己签发CA证书签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像CSDN这种,网站使用的证书就是由二级CA颁发的证书
OpenSSL证书服务
S_XYY的博客
05-21 357
3.OpenSSL证书服务 问题 本案例要求熟悉OpenSSL工具的基本使用,完成以下任务操作: 1)使用OpenSSL加密/解密文件 2)搭建企业自有的CA服务器,为颁发数字证书提供基础环境 方案 使用两台RHEL6虚拟机,其中svr5作为CA数字证书服务器,而pc205作为测试用客户机,如图-4所示。 步骤 实现此案例需要按照如下步骤进行。 步骤一:使用OpenSSL加密/解密文件 ...
win10 安装openssl并使用openssl创建自签名证书
最新发布
GoodCooking的博客
06-20 2207
win10 安装openssl并使用openssl创建自签名证书
Openssl生成自签名证书并导入浏览器脚本
zhangpfly的博客
08-03 2305
Openssl生成自签名证书并导入浏览器使用说明1. 准备工作2. 脚本导入浏览器4. 使用证书 使用说明 环境:Centos 7 运行脚本后可以生成根证书、自签名证书(可以指定域名或泛域名) 1. 准备工作 yum -y install httpd-tools.x86_64 openssl.x86_64 openssl-devel.x86_64 openssl-libs.x86_64 2. 脚本 这个脚本是从Rancher官网上找到的,基本没改多少东西 参考:https://rancher2.doc
浏览器https受信任证书生成——openssl颁发受信任证书
zw
03-26 1241
解决https访问浏览器提示不安全
OpenSSL证书
奋斗中的魔鬼筋肉人
08-27 247
CA证书 (结构)PKI: 签证机构:CA 注册机构:RA 证书吊销列表:CRL 证书存取库 (内容) X.509:定义了证书的结构以及认证协议标准 版本号 序列号 签名算法 颁发者 有效期 主体名称 主体公钥 CRL分发点 扩展信息 发行者签名 获取证书两种方法: 使用证书授权机构 生成签名请求(csr) 将csr发送给CA 从CA出接收...
openssl证书
weixin_49254673的博客
06-20 407
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt 服务器的证书 可以加-day 指定时间。openssl pkcs12 -export -in xbcx_ca.crt -inkey xbcx_ca.key -out server.p12 -name server(需要.key私钥文件和.crt证书)xbcx_ca.key 服务器证书的私钥 根据你的名字填写不同的名字。
nginx--基于openssl自颁发SSL证书实现HTTPS协议安全访问网站
热门推荐
JustinQin
08-02 1万+
学习背景 大家在nginx安装(nginx安装教程)后,启动nginx,访问静态页面时,一般都是直接通过HTTP协议进行访问页面,如下图所示: 但实际很多场景基于安全方面的考虑,需要基于HTTPS协议进行访问,这篇文章主要是介绍基于openssl生成自颁发证书实现HTTPS协议访问,进入正文之前,先来复习一下,HTTP和HTTPS的区别吧 1、HTTP全称Hypertext Transfer Proctocol超文本传输协议,是计算机世界里专门在两点之间传输数据的约定和规范,主要分为Hypertext、
使用Openssl签发SSL证书
qq_42533647的博客
12-17 2164
本文主要记述在Linux系统上使用Openssl创建SSL证书的流程,作为个人学习笔记。自签名证书分为自签名私有证书和自签名CA证书两种。自签名私有证书无法被吊销,自签名CA证书可以被吊销。 什么是openssl OpenSSL网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用;openssl只是OpenSSL开源套件中的多功能命令工具; OpenSSL套件的组成部分有: 1.libcrypto:通用功
linux下 openssl证书签发
何小杰的博客
10-22 2062
在linux已经集成了openssl组件,因此博主利用例子讲解如何在linux系统下签发证书,因为个人证书时不受谷歌浏览器认可的,所以自签发证书只能在火狐浏览器下测试使用!
签发SSL证书
merry_tea的博客
12-08 7497
一 SSL证书 当网站需要启用HTTPS的时候,你就需要SSL证书了。 一个证书中包含了公钥、持有者信息、证明证书内容有效的签名以及证书有效期,和其他额外信息。 证书分为根证书(root Certificates),中间证书(intermediates Certificates),终端用户证书(end-user Certificates)。 根证书 -> 中间证书 -> 终...
OpenSSL】创建证书
开心乐源的专栏
02-15 4932
1)生成根证书 1.1) 生成RSA私钥 openssl genrsa -out cakey.pem 2048 1.2) 生成证书请求 openssl req -new -key cakey.pem -out cacsr.pem 1.3) 签发自签名证书 openssl x509 -in cacsr.pem -req -signkey cakey.pem -da
OpenSSL创建SSL证书
悦分享
06-03 4738
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
openssl实现https访问web网页
weixin_33989780的博客
07-27 541
一.相关介绍1.什么是CA认证中心(CA─Certificate Authority)作为权威的、可信赖的、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。它作为一个权威机构,对密钥进行有效地管理,颁发证书证明密钥的有效性,并将公开密钥同某一个实体(消费者、商户、银行)联系在一起。可以建立起安全程度极高的加解密和身份认证系统,从而使信息除发送方和接收...
如何使用OpenSSL创建证书
weixin_34323858的博客
08-30 80
     如果你想创建不是1年有效期的自签名证书,或想提供有关自己的额外信息,你可以用一个工具Open SSL来创建证书,而不是SDK随带的标准工具:MakeKeys。 下面的命令,基于这里给出的建议,演示了如何创建具有10年有效期的自签名key/certificate对。 openssl genrsa 1024 >selfsigned.key openssl req -new -...
openssl制作ssl证书
Reforn的专栏
09-29 475
1. 生成4096位rsa私钥,采用des算法加密 openssl genrsa -des3 -out ca.key 4096 2.生成CA的自签名证书 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:BJ Locality Name (eg, city) []:BJ
签发ssl证书
14舍224
06-16 219
  # make directories to work from mkdir -p certs/{server,client,ca,tmp}   # Create your very own Root Certificate Authority openssl genrsa \   -out certs/ca/my-root-ca.key.pem \   2048   # S...
怎样签发SSL证书
weixin_30629977的博客
10-05 292
最近在做怎样让网站有SSL,搞了一天,现在总结一下 首先要安装OPENSSL和 Java的 keytool 先用OPENSSL生成私钥和CSR openssl req -newkey rsa:2048 -nodes -keyout domain.key -out domain.csr 生成时会提示你输入些信息的,记得在common name里输入的要认证的域名的信息 比如 xxx.xxx....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值