HTTPS自签证书SSL的作成

最新推荐文章于 2024-08-05 17:53:15 发布
最新推荐文章于 2024-08-05 17:53:15 发布
阅读量1.2k 收藏 2
点赞数 1
文章标签: ssl https 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65939803/article/details/128934006
版权

一. http与https的区别

http 是明文传输(信息不安全)

https 是加密传输(信息安全)

注释:https=http+SSL,SSL的3.0版相当于TLS1.0。

二. 单向认证与双向认证

1. 单向认证

只有服务器配置了SSL,

浏览器访问服务器时,服务器的SSL是安全的就可以正常访问

适用于公开的网络服务(例如:京东,淘宝等任何人都可注册的网站)

2. 双向认证

服务器和客户浏览器都配置了SSL,

浏览器访问服务器,认为服务器SSL是安全的就可以发出访问请求,

同时服务器认证浏览器SSL,认为浏览器有访问权限,完成访问。

适用于安全级别高的企业内部系统(例如:移动,银行等我们去办理业务时他们的内部系统)

三. 服务器证书的作成

1. 作成“私钥”

作为服务器发布方,需要自己创建一个私钥(只有服务器自己知道),用来解密浏览器发过来的加密数据

私钥一般为 server.key或 serverkey.pem 以key或pem为后缀的文件,名称无所谓,本质上两种文件没有区别

2. 作成“待签名证书”

用私钥作成一个待签名证书,给浏览器加密数据用(浏览器访问服务器会自动获取到)

待签名证书一般为 server.csr 以csr为后缀文件,名称不重要,这时的证书没有经过CA认证无法直接使用

3. 通过CA认证

拿着待签名证书,找CA机构签名

1. 权威机构签名,需要付费。(浏览器可正常访问,服务器对外网公开选择这个签名)

2. 自建CA,给自己签名,免费。(浏览器会提示不安全,小企业内部使用可以使用自签名证书)

签名证书一般为 servercert.pem或 server.crt 名称不重要,本质上两种文件没区别

四. 作成客户端证书

双向认证时需要作成,作成方式同服务器证书一样,改个名字即可

五. 自签证书作成实例

自建CA认证局,然后给服务器证书签名

1. 下载安装OpenSSL

参照:OpenSSL下载安装_凯尔萨厮的博客-CSDN博客

2. 自建CA认证

下记方式二选一即可

自建CA方式一:

五.2.一.(1). 作成CA根证书私钥

openssl genrsa -out D:\SSL\cakey.pem 2048

 五.2.一.(2)根据私钥作成待签名证书

作成待签名证书方式1:无参命令(参数一个个输入)

openssl req -new -key D:\cakey.pem -out D:\ca.csr

Country Name(国家,例:CN))

State or Province Name(省,例:liaoning)

Location or City(城市,例:dalian)

Organization Name(企业,组织,例:bly)

Organizational Unit Name(部门,例:kaifa)

Common Name(证书拥有者名,例:www.openssl.com)

Email Address(可不输入)

A challenge password(可不输入)

An optional company name(可不输入)

 

作成待签名证书方式2:有参命令(一次作成)

 openssl req -new -key D:\cakey.pem -out D:\ca2.csr -subj "/C=CN/ST=liaoming/L=dalian/O=bly/OU=kaifa/CN=openssl"

五.2.一.(3). 自签发根证书

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey D:\cakey.pem -in D:\ca.csr -out  D:\cacert.pem

自建CA方式二:

五.2.二.(1) 生成CA私钥和签名证书

openssl req -x509 -sha256 -days 3650 -newkey rsa:4096 -keyout D:\SSL\TCL\rootCA.key -out D:\SSL\TCL\rootCA.crt

输入PEM密码:(例:capwd) 

Country Name(国家,例:CN))

State or Province Name(省,例:liaoning)

Location or City(城市,例:dalian)

Organization Name(企业,组织,例:bly)

Organizational Unit Name(部门,例:kaifa)

Common Name(证书拥有者名,例:www.openssl.com)

Email Address(可不输入)

A challenge password(可不输入)

An optional company name(可不输入)

3. 自建服务器证书

方式一:

3.一.(1). 作成服务器证书私钥

openssl genrsa -out D:\key.pem 2048

3.一.(2)根据私钥作成待签名证书

openssl req -new -key D:\key.pem -out D:\server.csr -subj "/C=CN/ST=liaoning/L=dalian/O=bly/OU=kaifa/CN=keycloak"

3.一.(3)给证书签名

openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA D:\cacert.pem -CAkey D:\cakey.pem -CAserial D:\ca.srl -CAcreateserial -in D:\server.csr -out D:\cert.pem

方式二:

3.二.(1). 作成服务器证书私钥和待签名证书

openssl req -new -newkey rsa:4096 -keyout D:\SSL\TCL\server.key -out D:\SSL\TCL\server.csr -nodes

3.二.(2)给证书签名

openssl x509 -req -CA D:\SSL\TCL\rootCA.crt -CAkey D:\SSL\TCL\rootCA.key -in D:\SSL\TCL\server.csr -out D:\SSL\TCL\server.crt -days 3650

4. 自建客户端证书

参照上记3自建服务器证书

五. 证书配置

1. 服务端配置服务器证书

TODO各个服务器不同自行百度

2. 浏览器配置证书

再windows检索输入【internet option】互联网选项

 点击证明书

 

(1)浏览器设置,信任服务端证书认证(单向认证,双向认证都要设置)

将CA根证书导入到下记,信任的证明机关里(用于访问服务器自动信任服务器证书,避免弹出不受信任的网址)

 (2)浏览器设置,客户端证明书(双向认证,设置)

将客户端证明书导入到下记,个人里

 

凯尔萨厮
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
https服务器如何生成自签名证
CathyYang82的博客
06-06 5393
https网站的配置,需要密钥库文件,但密钥库文件如何生成呢? 如何让浏览器客户端信任服务器证呢?下面来解答这两个疑问。 一、通过keytool可以生成自签名证和服务器的密钥库文件。 1、生成服务器密钥库文件server.jks C:>keytool -genkey -alias server -keyalg RSA -keystore server.jks -validity 36...
IIS 中 HTTPS 自签名证 的使用
01-14 5344
1.在IIS根目录中,打开服务器证。 2.创建自签名证,输入名称并保存 3.对网站进行绑定HTTPS,点击“编辑绑定” 4.选定类型为https 端口 443 ,SSL 选择已创建的证。 5.通过https已可以正常访问。   注意事项: 如果 不能正常访问,可能是443端口被占用,cmd 查看 端口占用情况。 发现 PID 为5908 的进程占用了...
HTTPS自签名证生成
weixin_50859396的博客
07-04 536
HTTPS自签名证生成步骤和要点
Linux上创建SSL
2302_82179879的博客
03-30 1866
OpenSSL
【年薪百万之IT界大神成长之路】一文带你搞懂SSL和WEB数据加密
おうせき碩の博客
08-26 382
  愿你如阳光,明媚不忧伤。 目録1. 对称加密2. 非对称加密3. 数字证3.1 JAVA Keystore3.2 JAVA Keytool3.3 SSL格式4. 数字摘要5. 数字签名5.1 sign 生成实例6. Token 令牌【每日一面】cookie、session、token 三者之间的关系   1. 对称加密 symmetrical encryption 对称加密,采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称
SElinux
weixin_33796205的博客
09-20 153
一.简介SELinux全称是Security Enhanced Linux,由美国国家安全部(National Security Agency)领导开发的GPL项目,它拥有一个灵活而强制性的访问控制结构,旨在提高Linux系统的安全性,提供强健的安全保证,可防御未知***,相当于B1级的军事安全性能。比MS NT的C2等高得多。SELinux起源于自1980开始的微内核和操作...
第五章 WebRTC, SIP和 Verto
至虛極,守靜篤
08-08 9183
WebRTC,视频和音频的实时通信,已经在超过十亿个浏览器上工作。很快移动应用程序就会成倍增长。WebRTC有望成为物联网(IOT)所采用的多媒体通信层。 FreeSwitch是一个完整的WebRTC解决方案,使现有的和遗留的应用程序能够通过新的渠道为用户服务。此外,Freeswitch是一个超级可编程应用服务器,是您创建杀手级服务的基础,它定义了“快速致富”的新概念...
工作中使用到的单词(软件开发)_2023_0316备份
热门推荐
sun0322
03-16 1万+
目录■Java学习汇总■常用链接■2020/03/15 (最初整理 242个单词)2020 6/28 整理2020 6/29 整理2020 7/6 整理■2020 7/23 整理■2020/10/07 以降整理■2020/11/02 以降整理■2020/12/04 以降整理■2020/12/14以降整理■2021/01/01以降整理■2021/02/22以降整理■匿名内部类,lambda表达式,JDK7新特性,等等java相关■2021/03/18以降整理Linux系统性能 相关■其他各种单词,知识(l
Linux运维 第三阶段 (七) nginx(1)
weixin_34195142的博客
06-13 219
Linux运维 第三阶段 (七) nginx(1)一、相关概念:nginx(engine-X,nginx.org,performance、stability、rich feature、simpleconfiguration、low resource consumption):HTTP-server(轻量级、高性能WEB服务器)reverse proxy(反向代理服务器,ma...
外贸出口流程
weixin_30505225的博客
08-25 967
出口货物流程主要包括:报价、订货、付款方式、备货、包装、通关手续、装船、运输保险、提单、结汇。一、报价  在国际贸易中一般是由产品的询价、报价作为贸易的开始。其中,对于出口产品的报价主要包括:产品的质量等级、产品的规格型号、产品是否有特殊包装要求、所购产品量的多少、交货期的要求、产品的运输方式、产品的材质等内容。  比较常用的报价有: FOB"船上交货"、CNF"成本加运费"、CIF"成本、保险费...
测试环境搭建整套大数据系统(十九:kafka ssl
最新发布
weixin_43446246的博客
08-05 152
kafka ssl
openssl版本不同引发的崩溃
RandyLeonard的专栏
08-05 260
运行环境上使用程序自己的动态库,可以避免由于运行环境存在动态库的多个版本而引发的各种问题,如崩溃等。
智能巡检企业级域名 SSL
观测云的博客
08-02 929
构建企业级的域名 SSL有效期智能巡检系统,智能获取到证的有效期,距离有效期14天内,自动发送告警通知,有效预防因证过期导致的风险。
只有IP可以实现HTTPS访问嘛?
SeaBreeze__的博客
08-05 149
要实现HTTPS访问,通常需要一个域名和一个SSL/TLS证。然而,在某些情况下,你确实可以直接使用IP地址来设置HTTPS访问。下面是如何实现这一点的方法:
在手机中安装Fiddler CA证后,完美解决Fiddler无法进行手机HTTPS请求抓包的难题!
liwenxiang629的博客
08-05 134
Fillder即使成功配置,在抓取手机中https包时也会出错,这个时候,我们就需要在手机中安装Fiddler的 CA证!
docker 安装nginx并配置https (个人记录)
qq_67801847的博客
08-05 141
基于docker安装nginx并配置加密证
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
互联网架构小马的博客
07-31 626
网络就像一把双刃剑,给我们的生活、交流、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
未知攻焉知防:从攻击者视角看网络安全的“攻守之道”
科技云报道
08-01 393
基于独特的“动态安全+AI”技术思想,瑞数信息综合运用自动化攻击保护、0day防护、多源低频防护、多维度分层分级对抗等多种安全防护策略和手段,还推出瑞数WAAP超融合平台,支持WAF、Bots防护、0day攻击防护、应用DDoS防护、API安全防护等多项安全产品单独或联合部署,能够覆盖Web、移动App、H5、API及IoT全应用渠道,提供多层级的联动防御机制,令企业在各类复杂的环境中,都可以轻松实现应用安全一体化防御。其次,由于供应链数量众多,类型错综复杂,导致安全难以做到统一管理,供应链风险与日俱增。
tomcatssl生成
01-04
以下是使用自动生成的JKS格式证来配置Tomcat的过程: 1. 确保你已经安装了Java JDK和Tomcat,并且已经设置好了环境变量。 2. 打开终端或命令行,输入以下命令来生成JKS格式证: ```shell keytool -genkey -v -alias testKey -keyalg RSA -validity 3650 -keystore /tomcat/tomcat/test.keystore ``` 这将生成一个名为test.keystore的JKS格式证文件,并将其保存在/tomcat/tomcat目录下。 3. 将生成的证文件复制到Tomcat的ssl文件夹中。如果ssl文件夹不存在,请先创建它。 4. 打开Tomcat的conf文件夹,找到server.xml文件。 5. 注释掉以下内容: ```xml <!-- <Connector port="8443" protocol="... --> ``` 将其改为: ```xml <!-- <Connector port="8443" protocol="... --> ``` 6. 保存并关闭server.xml文件。 现在,你已经成功生成了Tomcat的SSL
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值