OpenSSL自建CA和签发二级CA及颁发SSL证书

最新推荐文章于 2024-05-08 07:37:37 发布
最新推荐文章于 2024-05-08 07:37:37 发布
阅读量6.9k 收藏 17
点赞数 8
分类专栏: 架构技术 文章标签: OpenSSL CA SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mn960mn/article/details/85645805
版权

自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。
但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如

像百度这种,网站使用的证书就是由二级CA颁发的证书。

本文就来演示,自签CA,由自签CA签发二级CA,最后由二级CA签发网站证书

--------------------------------------------------------------------------------------------------------

系统环境:

Ubuntu 18.10

OpenSSL 1.1.1  11 Sep 2018

一:创建根CA

1:依次创建如下目录

mkdir -p /opt/ca/root

mkdir /opt/ca/root/key

2:vim /opt/ca/root/openssl.cnf

[ ca ]
default_ca	= CA_default
 
[ CA_default ]
dir		    = /opt/ca/root
certs		= $dir/certs
crl_dir		= $dir/crl
database	= $dir/index.txt
new_certs_dir	= $dir/newcerts
certificate	= $dir/key/cacert.crt
serial		= $dir/serial
crlnumber	= $dir/crlnumber
crl		    = $dir/crl.pem
private_key	= $dir/key/cakey.pem
RANDFILE	= $dir/key/.rand
unique_subject	= no
 
x509_extensions	= usr_cert
copy_extensions = copy
 
name_opt 	= ca_default
cert_opt 	= ca_default
 
default_days	= 365
default_crl_days= 30
default_md	= sha256
preserve	= no
policy		= policy_ca
 
[ policy_ca ]
countryName		= supplied
stateOrProvinceName	= supplied
organizationName	= supplied
organizationalUnitName	= supplied
commonName		= supplied
emailAddress		= optional
 
[ req ]
default_bits		= 2048
default_keyfile 	= privkey.pem
distinguished_name	= req_distinguished_name
attributes		= req_attributes
x509_extensions	= v3_ca
string_mask = utf8only
utf8 = yes
prompt                  = no
 
[ req_distinguished_name ]
countryName			= CN
stateOrProvinceName		= beijing
localityName			= beijing
organizationName        = Global Google CA Inc
organizationalUnitName	= Root CA
commonName			= Global Google Root CA
 
[ usr_cert ]
basicConstraints = CA:TRUE
 
[ v3_ca ]
basicConstraints = CA:TRUE
 
[ req_attributes ]

3:创建如下目录及文件

mkdir /opt/ca/root/newcerts

touch /opt/ca/root/index.txt

touch /opt/ca/root/index.txt.attr

echo 01 > /opt/ca/root/serial

4:创建根CA私钥

openssl genrsa -out /opt/ca/root/key/cakey.pem 2048

5:创建根CA证书请求文件

openssl req -new -key /opt/ca/root/key/cakey.pem -out /opt/ca/root/key/ca.csr -config /opt/ca/root/openssl.cnf

6:自签根CA证书

openssl ca -selfsign -in /opt/ca/root/key/ca.csr -out /opt/ca/root/key/cacert.crt -config /opt/ca/root/openssl.cnf

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/root/key/cacert.crt

经过以上几个步骤,就生成了根CA的相关证书和私钥,可以用于签发其他的CA(二级CA),不可签发服务器证书

 

二:创建二级CA

1:依次创建如下目录

mkdir /opt/ca/agent

mkdir /opt/ca/agent/key

2:vim /opt/ca/agent/openssl.cnf

[ ca ]
default_ca	= CA_default
 
[ CA_default ]
dir		    = /opt/ca/agent
certs		= $dir/certs
crl_dir		= $dir/crl
database	= $dir/index.txt
new_certs_dir	= $dir/newcerts
certificate	= $dir/key/cacert.crt
serial		= $dir/serial
crlnumber	= $dir/crlnumber
crl		    = $dir/crl.pem
private_key	= $dir/key/cakey.pem
RANDFILE	= $dir/key/.rand
unique_subject	= no
 
x509_extensions	= usr_cert
copy_extensions = copy
 
name_opt 	= ca_default
cert_opt 	= ca_default
 
default_days	= 365
default_crl_days= 30
default_md	= sha256
preserve	= no
policy		= policy_ca
 
[ policy_ca ]
countryName		= supplied
stateOrProvinceName	= supplied
organizationName	= supplied
organizationalUnitName	= supplied
commonName		= supplied
emailAddress		= optional
 
[ req ]
default_bits		= 2048
default_keyfile 	= privkey.pem
distinguished_name	= req_distinguished_name
attributes		= req_attributes
x509_extensions	= v3_ca
string_mask = utf8only
utf8 = yes
prompt = no
 
[ req_distinguished_name ]
countryName			= CN
stateOrProvinceName		= Guangdong
localityName			= Guangzhou
organizationName        = Global Google CA Inc
organizationalUnitName	= Google 2019 CA
commonName			= Google 2019 CA
 
[ usr_cert ]
basicConstraints = CA:FALSE
 
[ v3_ca ]
basicConstraints        = CA:TRUE
 
[ req_attributes ]

3:创建如下目录及文件

mkdir /opt/ca/agent/newcerts

touch /opt/ca/agent/index.txt

touch /opt/ca/agent/index.txt.attr

echo 01 > /opt/ca/agent/serial

4:创建二级CA私钥

openssl genrsa -out /opt/ca/agent/key/cakey.pem 2048

5:创建二级CA证书请求文件

openssl req -new -key /opt/ca/agent/key/cakey.pem -out /opt/ca/agent/key/ca.csr -config /opt/ca/agent/openssl.cnf

6:使用根CA签发二级CA

openssl ca -in /opt/ca/agent/key/ca.csr -out /opt/ca/agent/key/cacert.crt -config /opt/ca/root/openssl.cnf

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/agent/key/cacert.crt

经过以上几个步骤,就生成了一个二级CA,这个二级CA可以签发服务器证书(不能签发其他的CA)

 

三:使用二级CA签发服务器端证书

1:mkdir /opt/ca/taobao

2:vim /opt/ca/taobao/openssl.cnf

[ req ]
prompt             = no
distinguished_name = server_distinguished_name
req_extensions     = req_ext
x509_extensions	= v3_req
attributes		= req_attributes

[ server_distinguished_name ]
commonName              = taobao2018.cn
stateOrProvinceName     = zhejiang
countryName             = CN
organizationName        = Alibaba Taobao Inc
organizationalUnitName  = Taobao IT

[ v3_req ]
basicConstraints        = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

[ req_attributes ]

[ req_ext ]
subjectAltName      = @alternate_names

[ alternate_names ]
DNS.1        = taobao2018.cn
DNS.2        = bbs.taobao2018.cn
DNS.3        = taobao2019.cn

3:生成网站私钥

openssl genrsa -out /opt/ca/taobao/privkey.pem 2048

4:生成证书请求文件(csr文件)

openssl req -new -key /opt/ca/taobao/privkey.pem -out /opt/ca/taobao/taobao.csr -config /opt/ca/taobao/openssl.cnf

5:使用二级CA进行签发证书(这里不能用根CA签发)

openssl ca -in /opt/ca/taobao/taobao.csr -out /opt/ca/taobao/taobao.crt -config /opt/ca/agent/openssl.cnf

6:聚合证书(重要)

由于是二级CA颁发的证书,所以,服务器需要把根CA、二级CA等证书都要发送给浏览器,所以给到web服务器的证书是要一个聚合的证书

cat /opt/ca/taobao/taobao.crt /opt/ca/agent/key/cacert.crt /opt/ca/root/key/cacert.crt | tee /opt/ca/taobao/taobao_all.crt

PS:注意顺序

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/taobao/taobao_all.crt

经过以上几个步骤,就生成了由二级CA签发的证书了

 

四:配置nginx的ssl

server {
	listen       443 ssl;
	server_name  taobao2018.cn bbs.taobao2018.cn taobao2019.cn;

	ssl_certificate      /opt/ca/taobao/taobao_all.crt;
	ssl_certificate_key  /opt/ca/taobao/privkey.pem;

	ssl_session_cache    shared:SSL:1m;
	ssl_session_timeout  5m;

	ssl_ciphers  HIGH:!aNULL:!MD5;
	ssl_prefer_server_ciphers  on;

	location / {
		root   html;
		index  index.html index.htm;
	}
}

五:导入自建CA的根证书(二级CA证书无需导入)

这里以Firefox为例,打开:选项 -> 隐私与安全 -> 查看证书,在证书颁发机构里面选择导入,

选择文件 /opt/ca/root/key/cacert.crt 导入并勾选2个信任的复选框

六:配置hosts

192.168.133.134 taobao2018.cn
192.168.133.134 bbs.taobao2018.cn
192.168.133.134 taobao2019.cn

最后,使用https方式访问上面的三个url中的任意一个均可

访问之后,也可以在Firefox上查看证书

 

注意:

一:

CA和证书是有区别的,CA是用来颁发证书和签发二级CA的,且两者是互斥的。也就是说,一个CA要么是用来签发二级CA的,要么是用来签发证书的。

如何判断?

在 /opt/ca/root/openssl.cnf配置文件中,有如下配置

[ usr_cert ]
basicConstraints = CA:TRUE
 
[ v3_ca ]
basicConstraints = CA:TRUE

usr_cert下面的basicConstraints代表的是当前CA的配置,

CA:TRUE是当前CA签发的是CA(二级CA),不能签发证书,

CA:FALSE是当前CA签发的是证书,不能签发CA(二级CA)

 

v3_ca下面的basicConstraints代表的是请求的证书是CA还是证书

CA:TRUE表示当前请求的是CA(二级CA)

CA:FALSE表示当前请求的是证书

 

二:

如果是CA(二级CA),则证书请求中的commonName不需要填写域名,可以填写组织机构

如果是证书,则证书请求中的commonName需要填写域名(一般是主域名),当然了,这个主域名也要在后面的subjectAltName属性中

西夏一品堂
关注
  • 8
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业根CA二级CA的区别
weixin_34192816的博客
09-23 1854
我想问下,我建立企业根CA二级CA后,使用二级CA签名的证书是否可以用根CA的公钥验证其身份?根CA颁发二级CA证书和普通用户证书有哪些不同呢? 我设想,我设定独立根CA和独立附属CA,在不用的证书应用里使用不同的附属CA颁发,然后让根CA服务器离线保护根CA,同时我也可以方便管理和吊销我的附属CA签发的各类证书。比如我要做一个双向认证的WEB服务器,利用附属CA签发客...
搭建CA二级CA,和签发证书
zangyansong的专栏
06-02 2485
1 搭建CA 1.1 环境的搭建 首先创建CA目录,所有与CA相关的内容都包含在这个文件夹中。然后在这个目录下再建立2个文件夹newcerts和private,分别用于存放CA发布的证书CA的私钥。另外还需要创建3个文件,第一个文件用来追踪已经发布的证书的序列号,因为每个证书的序列号都必须唯一。这个文件叫做serial,它的初始值为1. 这个数值是16进制,并且最少为2位。第二个文件的初始值
OpenSSL 生产自签名证书二级证书
白开水的博客
07-12 2214
使用 OpenSSL 生产自签名 SSL 证书过程 操作步骤 * openssl版本:1.0.2k 生成根证书私钥 利用openssl命令的子命令genrsa生成私钥,然后再使用子命令rsa私钥中提取公钥。 openssl genrsa -out ca.key 2048 使用默认的加密算法是rsa 指明生成的私钥大小是2048; 生成根证书请求文件(CSR) 比如我自己的网站,需要使用https 通信,那么我向“证书机构”申请数字证书的时候,就需要向他们提供相应的信息,这些信息以特定文件格式(
Linux入门攻坚——22、通信安全基础知识及opensslCA证书
最新发布
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-08 738
随机数生成器:熵池,用于存储随机数,随机数是由随机事件产生的,如敲击键盘、磁盘I/o等,两个伪设备,用于生成随机数。1、进入CA根目录,生成CA的私钥,按照上面的配置CA根目录是/etc/pki/CACA自己的私钥为/etc/pki/CA/private/cakey.pem。这个httpd.csr,就是一个待签发证书,所谓签发,就相当于CA用自己的印戳在这个文件上盖上印,实际就是CA用自己的密钥在这个文件上数字签名。不同的服务,不同的证书,不同的密钥,使用者先向RA申请生成密钥。
PKCS12证书生成完整步骤
weixin_53069745的博客
05-05 2276
将私钥和证书合并为PKCS12格式 openssl pkcs12 -export -in cert.crt -inkey private.key -out cert.p12。创建自签名证书 openssl x509 -req -days 3650 -in cert.csr -signkey private.key -out cert.crt。生成证书请求 openssl req -new -key private.key -out cert.csr。
使用keytool工具产生带根CA二级CA的用户证书
莫负时光
08-03 2207
使用keytool工具产生带根CA二级CA的用户证书 1 生成根CA 1.1 生成根CA证书CA实际是一张自签CA,自签CA的使用者和颁发者都是它自己。使用下面的命令生成根证书,如果没有指定keystore则会使用默认在用户Home目录下的.keystore秘钥库(如果没有则会创建),输入秘钥库的密码,填写根证书的信息,最后填写根证书秘钥对的密码。 keytool -genkeypair -...
自制二级ca证书ssl证书
老专家的博客
05-14 657
OpenSSL create certificate chain with Root & Intermediate CA 下面内容保存为shell脚本,放到root根目录,会创建tls目录,然后在里面创建证书链 set -x rm -fr tls/ mkdir /root/tls cd /root/tls echo 01 > serial touch index.txt mkdir certs private cat >openssl.cnf << "EOF" HOME
生成PKCS12证书,以及解析PKCS12证书
热门推荐
Joe's Blog
12-19 2万+
生成证书请查看: http://blog.csdn.net/u010129119/article/details/53419581生成PKCS12证书openssl pkcs12 -export -chain -CAfile RootCA.pem -in server.pem -inkey serverkey.pem -out server.p12 -passout pass:123 解析PKC
grpc、https、oauth2等认证专栏实战6:openssl配置文件openssl.cnf介绍
码二哥的技术池
08-08 2283
最新版本 https://github.com/openssl/openssl/blob/master/apps/openssl.cnf。4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录。4、openssl.cnf 属性解释?1、如何使用指定的openssl.cnf配置文件呢?1、如何使用指定的openssl.cnf配置文件呢?4.1、openssl.cnf里配置属性的语法介绍。2、默认openssl.cnf配置文件的位置?3、openssl.cnf主要包括几部分?.....
openssl部署构建CA签发证书
铭星的专栏
04-25 1309
1)部署openssl 在运行目录下创建ca文件夹 #mkdir ca #cd caopenssl.cfg拷贝到运行目录下 #cp /vendor/openssl/openssl-1.0.0/apps/openssl.cfg . 修改openssl.cfg,修改CA_default默认路径dir为./ca,修改certificate为$dir/ca_cert.pem,修
OpenSSL创建私有CA,签证和吊销证书
独孤柯灵的博客
11-18 3532
OpenSLL创建私有CA,签证和吊销证书
OpenSSL创建根CA签发证书
Remi的博客
06-29 690
Windows下安装配置OpenSSL,建立demoCA文件夹,创建相应文件夹和文件,命令行进入OpenSSL 生成根CA密钥 genrsa -out ca.key 2048 生成根证书 req -new -x509 -days 7300 -key ca.key -out ca.crt -subj "/C=CN/ST=provin /L=city /O=org /OU= dept /CN=teacher " -subj subj:证书拥有者的信息值,取代证书请求文件中.
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络中的身份验证。生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名的证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
OpenSSL生成的ssl证书
01-11
注意,虽然自签发证书对于测试和内部使用是足够的,但对于生产环境,建议使用权威证书颁发机构(CA签发证书,以提供更高的信任度和浏览器兼容性。在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践。
openssl 创建ca 签发证书
10-10
CA是数字证书颁发机构,它负责验证请求证书的实体身份,并为其签发具有公信力的证书。在自建CA系统中,你可以控制整个证书生命周期,这对于内部网络或测试环境非常有用。 创建CA的第一步是生成一个根CA私钥。在...
openssl CA服务器模拟指令CA详解
yexiangCSDN的专栏
02-01 961
1、CA概述 首先我们需要明确CACA服务器的区别,CA是指集技术和管理与一体的庞大机构,不仅要求技术能力,还需要相应的管理能力。CA服务器相对来说比较简单,完成指定功能的一个应用程序。具体功能包括接受申请证书的请求、审核证书请求、签发证书、发布证书、吊销证书、生成和发布证书吊销列表及证书库的管理。 openssl提供了ca指令来模拟ca服务器,完成上述功能。上述功能繁杂,本文则主要
制作SSL自签证书及Apache配置
范一刀的博客
03-09 4368
一. 安装OpenSSL tar zxvf openssl-0.9.7g.tar.gz cd openssl-0.9.7g ./config make make install 二. 安装Apache tar zxvf httpd-2.2.8.tar.gz ./configure --prefix=/opt/apache2 --enable-ssl=static --with-s
使用openssl自制ssl证书
08-17
您可以按照以下步骤使用 OpenSSL 创建自签名 SSL 证书: 1. 安装 OpenSSL:首先,您需要安装 OpenSSL 工具包。您可以通过在终端中运行适用于您的操作系统的相应命令来安装它。 2. 生成私钥:使用以下命令生成一个新的私钥文件: ``` openssl genrsa -out private.key 2048 ``` 这将生成一个 2048 位的 RSA 密钥并保存在 `private.key` 文件中。 3. 生成证书签发请求 (CSR):使用以下命令生成 CSR 文件: ``` openssl req -new -key private.key -out csr.pem ``` 在生成过程中,您需要提供一些信息,如国家/地区、州、城市等。这些信息将用于生成 CSR 文件。 4. 自签名证书:使用以下命令生成自签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey private.key -out certificate.crt ``` 这将使用您的私钥和 CSR 文件生成一个有效期为 365 天的自签名证书,并将其保存在 `certificate.crt` 文件中。 现在,您已经创建了一个自制的 SSL 证书。请记住,自签名证书不被广泛信任,因此它们适用于测试和开发环境,而不适用于生产环境。在生产环境中,建议使用由受信任的证书颁发机构 (CA) 签发证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值