OpenSSL自建CA和颁发SSL证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量3k 收藏 5
点赞数 2
分类专栏: 架构技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mn960mn/article/details/85563730
版权

系统环境:

Ubuntu 18.10

OpenSSL 1.1.1  11 Sep 2018

一:自建CA

1:依次创建如下目录

mkdir -p /opt/ca/root

mkdir /opt/ca/root/key

2:vim /opt/ca/root/openssl.cnf

[ ca ]
default_ca	= CA_default

[ CA_default ]
dir		    = /opt/ca/root
certs		= $dir/certs
crl_dir		= $dir/crl
database	= $dir/index.txt
new_certs_dir	= $dir/newcerts
certificate	= $dir/key/cacert.crt
serial		= $dir/serial
crlnumber	= $dir/crlnumber
crl		    = $dir/crl.pem
private_key	= $dir/key/cakey.pem
RANDFILE	= $dir/key/.rand
unique_subject	= no

x509_extensions	= usr_cert
copy_extensions = copy

name_opt 	= ca_default
cert_opt 	= ca_default

default_days	= 365
default_crl_days= 30
default_md	= sha256
preserve	= no
policy		= policy_ca

[ policy_ca ]
countryName		= supplied
stateOrProvinceName	= supplied
organizationName	= supplied
organizationalUnitName	= supplied
commonName		= supplied
emailAddress		= optional

[ req ]
default_bits		= 2048
default_keyfile 	= privkey.pem
distinguished_name	= req_distinguished_name
attributes		= req_attributes
x509_extensions	= v3_ca
string_mask = utf8only
utf8 = yes
prompt                  = no

[ req_distinguished_name ]
countryName			= CN
stateOrProvinceName		= beijing
localityName			= beijing
organizationName        = Global Google CA Inc
organizationalUnitName	= Root CA
commonName			= Global Google Root CA

[ usr_cert ]
basicConstraints = CA:TRUE

[ v3_ca ]
basicConstraints        = CA:TRUE

[ req_attributes ]

3:创建如下目录及文件

mkdir /opt/ca/root/newcerts

touch /opt/ca/root/index.txt

touch /opt/ca/root/index.txt.attr

echo 01 > /opt/ca/root/serial

4:创建CA私钥

openssl genrsa -out /opt/ca/root/key/cakey.pem 2048

5:生成CA证书请求文件

openssl req -new -key /opt/ca/root/key/cakey.pem -out /opt/ca/root/key/ca.csr -config /opt/ca/root/openssl.cnf

6:自签名

openssl ca -selfsign -in /opt/ca/root/key/ca.csr -out /opt/ca/root/key/cacert.crt -config /opt/ca/root/openssl.cnf

7:修改/opt/ca/root/openssl.cnf配置,把

[ usr_cert ]
basicConstraints = CA:TRUE

修改为

[ usr_cert ]
basicConstraints = CA:FALSE

CA:TRUE代表的是签发的是CA机构(自己是CA机构),CA:FALSE代表的是签发的是证书(改成false就不能去签发其他CA)

经过以上7个步骤,就成功创建了CA私钥及CA证书。有了这些就可以去签发其他的证书请求了

 

二:使用自建CA签名证书

1:mkdir /opt/ca/taobao

2:vim /opt/ca/taobao/openssl.cnf

[ req ]
prompt             = no
distinguished_name = server_distinguished_name
req_extensions     = req_ext
x509_extensions	= v3_req
attributes		= req_attributes
string_mask = utf8only
utf8 = yes

[ server_distinguished_name ]
commonName              = taobao2018.cn
stateOrProvinceName     = guangzhou
countryName             = CN
organizationName        = 广州我要淘科技有限公司
organizationalUnitName  = IT

[ v3_req ]
basicConstraints        = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ req_attributes ]

[ req_ext ]
subjectAltName      = @alternate_names

[ alternate_names ]
DNS.1        = taobao2018.cn
DNS.2        = bbs.taobao2018.cn
DNS.3        = taobao2019.cn

3:生成网站私钥

openssl genrsa -out /opt/ca/taobao/privkey.pem 2048

4:生成证书请求文件(csr文件)

openssl req -new -key /opt/ca/taobao/privkey.pem -out /opt/ca/taobao/taobao.csr -config /opt/ca/taobao/openssl.cnf

5:使用自建CA进行签发证书

openssl ca -in /opt/ca/taobao/taobao.csr -out /opt/ca/taobao/taobao.crt -config /opt/ca/root/openssl.cnf

6:查看证书信息(可选)

openssl x509 -text -in /opt/ca/taobao/taobao.crt

经过以上几个步骤,就生成了由自建CA签发的证书了

 

三:配置nginx的ssl

server {
	listen       443 ssl;
	server_name  taobao2018.cn bbs.taobao2018.cn taobao2019.cn;

	ssl_certificate      /opt/ca/taobao/taobao.crt;
	ssl_certificate_key  /opt/ca/taobao/privkey.pem;

	ssl_session_cache    shared:SSL:1m;
	ssl_session_timeout  5m;

	ssl_ciphers  HIGH:!aNULL:!MD5;
	ssl_prefer_server_ciphers  on;

	location / {
		root   html;
		index  index.html index.htm;
	}
}

保存配置文件之后,启动nginx

 

四:导入自建CA的证书(根证书)

这里以Firefox为例,打开:选项 -> 隐私与安全 -> 查看证书,在证书颁发机构里面选择导入,

选择文件 /opt/ca/root/key/cacert.crt 导入并勾选2个信任的复选框

 

五:配置hosts

192.168.133.134 taobao2018.cn
192.168.133.134 bbs.taobao2018.cn
192.168.133.134 taobao2019.cn

最后,使用https方式访问上面的三个url中的任意一个均可

访问之后,也可以在Firefox上查看证书

 

注意:

1:证书的x509信息如:stateOrProvinceName、organizationalUnitName已经在openssl.cnf配置文件中指定了,所以在生成证书请求文件的时候,不需要再输入了

2:证书请求文件里面的commonName,只需要填写主要的域名就可以了,其他的域名(包括主域名)必须要在openssl.cnf配置文件的subjectAltName属性中指定,否则浏览器会报不安全警告。本例子中展示了证书支持3个域名,所以这3个域名都要配置在subjectAltName属性中

西夏一品堂
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于OpenSSL自建CA颁发SSL证书+nginx访问
ronon77的专栏
07-21 948
关于SSL/TLS介绍见文章 SSL/TLS原理详解。关于证书授权中心CA以及数字证书等概念,请移步 OpenSSLSSL 数字证书概念贴 。 openssl是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;三是openssl,是个多功能命...
利用openssl创建一个简单的CA
热门推荐
雕虫小技
04-26 2万+
 本文旨在利用开源openssl软件,在Linux(或UNIX/Cygwin)下创建一个简单的CA。我们可以利用这个CA进行PKI、数字证书相关的测试。比如,在测试用Tomcat或Apache构建HTTPS双向认证时,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。  该简单的CA将建立在用户自己的
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2650
本地使用 openssl 生成证书
基于 OpenSSL 自建 CA颁发 SSL 证书
ximenghappy的专栏
02-08 4080
基于 OpenSSL 自建 CA颁发 SSL 证书原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS,证书的需求随之增加。那么对于我们开发者,通过自签名证书...
openssl自建CA
weixin_33743880的博客
08-03 98
openssl自建CA 首先建立CA服务 使用openssl建立私有ca需以下三步 第一步ca服务端需先生成自己的密钥再从密钥中提取公钥,第二步客户端也要生成密钥对再做生成证书签署请求而后把请求发给ca服务器端,第三步ca服务器端验证请求信息而后签署证书选取两个主机一个ip172.16.100...
使用openssl自建CA
Reverberation的博客
04-17 356
openssl 命令格式: openssl command [ command_opts ] [ command_args ] 子命令分为三类: 1、Standard commands 标准命令:包含genrsa、ca、req、x509之类用于自签证书的命令和passwd、rand等其他常用命令 2、Message Digest commands 单向加密命令:dgst 支持md2...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
OpenSSL生成的ssl证书
01-11
注意,虽然自签发证书对于测试和内部使用是足够的,但对于生产环境,建议使用权威证书颁发机构(CA)签发的证书,以提供更高的信任度和浏览器兼容性。在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
linux系统openssl 实现ssl自签证书
12-02
`create_ssl.sh`脚本通常包含一系列openssl命令,用于创建私钥(ca.key)和公钥(ca.crt)对,这构成了CA证书。执行`sh -x create_ssl.sh 0`会生成这些文件,存放在 `/etc/nginx/conf.d` 目录下。 接下来,使用这...
Nginx配置SSL自签名证书的方法
09-30
自签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们...
openssl 创建ca 签发证书
10-10
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
利用openssl自制CA证书
09-13
本教程将深入探讨如何利用开源工具openssl创建自定义证书颁发机构(CA),并实现将CA证书安装到浏览器的受信任根证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL是一个强大的安全...
使用openssl生成单向ssl证书
04-04
因为我们正在创建一个自签发的证书,所以需要一个证书颁发机构(CA)。这通常由权威机构完成,但在这里我们自己做: ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名的证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
Linux下使用openssl制作CA证书颁发[参考].pdf
10-11
这将涉及到创建 CA、生成私钥和自签名证书颁发数字证书、吊销证书、生成证书吊销列表文件(CRL)等步骤。 标签解释 软件开发是指使用计算机语言和工具来设计、开发、测试和维护软件系统的过程。在这个过程中,...
利用OpenSSL 自签CA证书制作链式SSL证书
baidu_34881991的博客
03-31 2083
自签链式证书中间证书步骤
我实践:自建CA证书颁发(openssl)
超级无敌棒棒糖
09-30 821
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
【全】OpenSSL创建生成CA证书、服务器、客户端证书及密钥说明
weixin_41885845的博客
01-16 1944
使用OpenSSL生成密钥与证书,并进行双向验证
使用openssl自制ssl证书
08-17
您可以按照以下步骤使用 OpenSSL 创建自签名 SSL 证书: 1. 安装 OpenSSL:首先,您需要安装 OpenSSL 工具包。您可以通过在终端中运行适用于您的操作系统的相应命令来安装它。 2. 生成私钥:使用以下命令生成一个...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值