如何使用OpenSSL创建自签名证书

最新推荐文章于 2024-05-13 17:29:35 发布
最新推荐文章于 2024-05-13 17:29:35 发布
阅读量3.2k 收藏 4
点赞数 1
文章标签: ssl openssl certificate ssl-certificate x509certificate
原文链接:https://fi.sofbug.com/question/ghC0
版权

我正在向嵌入式Linux设备添加HTTPS支持。 我尝试通过以下步骤生成自签名证书: 

openssl req -new > cert.csr
openssl rsa -in privkey.pem -out key.pem
openssl x509 -in cert.csr -out cert.pem -req -signkey key.pem -days 1001
cat key.pem>>cert.pem

这可行,但是我遇到了一些错误,例如Google Chrome:

这可能不是您要查找的网站!
该站点的安全证书不受信任!

我想念什么吗? 这是构建自签名证书的正确方法吗?

#1楼

您可以通过以下命令执行此操作: 

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -days 365

如果您不想使用密码来保护私钥,也可以添加-nodesno DES缩写)。 否则,它将提示您输入“至少4个字符”的密码。

您可以用任何数字替换days参数(365)以影响到期日期。 然后,它将提示您输入“国家名称”之类的内容,但是您只需按Enter并接受默认值即可。

添加-subj '/CN=localhost'以取消有关证书内容的问题(将localhost替换为所需的域)。

除非您以前将自签名证书导入浏览器,否则它们不会与任何第三方进行验证。 如果需要更高的安全性,则应使用由证书颁发机构 (CA)签名的证书

#2楼

这是@diegows的答案中描述的选项,从文档中进行了更详细的描述

openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

 req

PKCS#10证书申请和证书生成实用程序。 

 -x509

此选项输出自签名证书而不是证书请求。 通常用于生成测试证书或自签名的根CA。 

 -newkey arg

此选项创建一个新的证书请求和一个新的私钥。 该参数采用以下几种形式之一。 rsa:nbits (其中nbits是位数)会生成nbits大小的RSA密钥。 

 -keyout filename

这给出了将新创建的私钥写入的文件名。 

 -out filename

默认指定要写入的输出文件名或标准输出。 

 -days n

当使用-x509选项时,它指定认证证书的天数。 默认值为30天。 

 -nodes

如果指定了此选项,则如果创建了私钥,则不会对其进行加密。

该文档实际上比上述文档更详细; 我在这里总结一下。

#3楼

我建议添加-sha256参数,以使用SHA-2哈希算法,因为主要的浏览器都在考虑将“ SHA-1证书”显示为不安全。

来自接受的答案的相同命令行-@diegows添加了-sha256

openssl req -x509 -sha256 -newkey rsa:2048 -keyout key.pem -out cert.pem -days XXX

有关更多信息,请访问Google安全性博客

更新于2018年5月。正如评论中许多指出的那样,使用SHA-2不会为自签名证书添加任何安全性。 但是我仍然建议使用它作为不使用过时/不安全的加密哈希函数的好习惯。 有关为什么完整证书的解释完全可以理解为基于SHA-1的最终实体证书之上的证书?

#4楼

我想念什么吗? 这是构建自签名证书的正确方法吗?

创建自签名证书很容易。 您只需要使用openssl req命令。 创建一个可供最多客户选择的客户端(例如浏览器和命令行工具)使用的客户端可能很棘手。

这很困难,因为浏览器有自己的一套要求,并且比IETF更具限制性。 浏览器使用的要求记录在CA /浏览器论坛中 (请参阅下面的参考资料)。 限制出现在两个关键领域:(1)信任锚,和(2)DNS名称。

现代浏览器(例如我们在2014/2015年使用的warez)需要一个链接回信任锚的证书,并且他们希望DNS名称以特定方式显示在证书中。 浏览器正在积极反对自签名服务器证书。

某些浏览器不能完全轻松地导入自签名服务器证书。 实际上,您无法使用某些浏览器,例如Android的浏览器。 因此,完整的解决方案是成为您自己的权威。

如果没有自己的权限,则必须正确设置DNS名称,以使证书获得最大的成功机会。 但是我鼓励你成为自己的权威。 成为您自己的权威很容易,它将回避所有信任问题(谁比自己更信任?)。

这可能不是您要查找的网站!
该站点的安全证书不受信任!

这是因为浏览器使用预定义的信任锚列表来验证服务器证书。 自签名证书不会链接回受信任的锚。

避免这种情况的最佳方法是:

  1. 创建您自己的权限(即成为CA
  2. 为服务器创建证书签名请求(CSR)
  3. 使用您的CA密钥签署服务器的CSR
  4. 在服务器上安装服务器证书
  5. 在客户端上安装CA证书

第1步- 创建您自己的权限仅意味着创建带有CA: true的自签名证书CA: true且正确的密钥用法。 这意味着主题颁发者是同一实体,在“ 基本约束”中将CA设置为true(也应将其标记为关键),密钥用法为keyCertSigncrlSign (如果使用的是CRL),以及主题密钥标识符 (SKI) )与授权机构密钥标识符 (AKI)相同。

要成为自己的证书颁发机构,请参阅* 如何与证书颁发机构签署证书签名请求? 在堆栈溢出。 然后,将您的CA导入浏览器使用的信任库中。

当您征求诸如StartcomCAcert之类的CA服务时,步骤2-4大致就是您现在要对面向公众的服务器执行的操作。 步骤1和5使您可以避开第三方权限,而充当自己的权限(谁比自己更信任?)。

避免浏览器警告的下一个最佳方法是信任服务器的证书。 但是某些浏览器(例如Android的默认浏览器)不允许您这样做。 因此它将永远无法在平台上运行。

浏览器(和其他类似的用户代理) 信任自签名证书的问题将在物联网(IoT)中成为一个大问题。 例如,当您连接恒温器或冰箱进行编程时会发生什么? 答案是,就用户体验而言,没有任何好处。

W3C的WebAppSec工作组

最低0.47元/天 解锁文章
p15097962069
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
OpenSSL 生成自签名证书
HD243608836的博客
04-18 471
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证书 的天数完成:cmd在哪里运行的,生成的证书会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
Windows 使用OpenSSL生成自签证书(亲测,实际操作)非直接摘录或转载,错误:unable to load CA private key的问题解决
songlh1234的博客
06-28 9174
近期因为工作方面的原因,需要用到https证书管理。因此就搜索了几篇文章造自签证书,参考了几篇文章。还是这个稍微靠谱点,备份保留分享给大家。这个是我用此方法生成的证书,在我们公司的测试环境验证通过。具体证书内容在这里就不贴出来了,大家可以按此方法进行尝试。 以下内容为原博文内容: 一,前言 经常写博客的小伙伴儿都知道,大家一般在前言里面会提到为什么写这篇博客,而我这篇博客 主要是探讨OpenSSL签名证书,用于对安全性要求比较高的商业活动。。 ...
OpenSSL 密码库实现证书签发流程详解_加密机证书签发
最新发布
2301_76348171的博客
05-13 729
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年嵌入式&物联网开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上嵌入式&物联网开发知识点,真正体系化!
linux 环境下使用PHP OpenSSL扩展函数openssl_pkey_new(),返回false的原因
托塔天王的博客
03-15 2410
<?php $config = array( 'private_key_bits' => 2048, ); $res = openssl_pkey_new($config); $res返回false的时候,检查发现,是linux系统缺少了openssl的配置,解决方法如下: 直接将php -m Openssl 的xx.conf 配置移动到对应的目录,然后重启php-fpm 完美解决 ...
使用openssl生成证书及密钥失败
热门推荐
qw_xingzhe的专栏
10-11 1万+
$privateKey = openssl_pkey_new(); while($message = openssl_error_string()){ echo $message.''.PHP_EOL; } 调用后会有如下输出: error:02001003:system library:fopen:No such process error:2006D080:BIO rout
openssl生成证书
军说网事
10-28 830
一、 x509证书一般会用到三类文,key,csr,crt。 Key 是私用密钥openssl格,通常是rsa算法。 Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。 crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。   1.key的生成  openssl genrsa
OpenSSL生成key和crt文件
qq_35699473的博客
04-20 1339
最近在学习trojan的过程用到了这写东西,简单的记录一下 生成.key文件 openssl genrsa -out server.key 2048 他会让你输入一个短语,目测是使用这个短语生成加密文件 这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key: openssl rsa -in server.key -out server.key server.key
HowToCreateSelfSignviaOpenSSL:如何使用openssl创建签名
02-08
如何使用openssl创建签名 OpenSSL是MacOS X,Linux,* BSD和Unixes的大多数安装附带的免费实用程序。 您还可以下载二进制副本以在Windows安装上运行。 创建您自己的私有证书颁发机构所需的只是OpenSSL创建自己...
Nginx配置SSL签名证书的方法
09-30
完成以上步骤后,Nginx应该已经配置好使用签名SSL证书。访问你的网站时,浏览器可能会发出警告,因为这不是一个受信任的CA签署的证书。在生产环境,为了消除这个警告,你应该使用由受信任CA签署的证书。但在开发...
OpenSSL证书创建工具(最小绿色压缩包,含配置文件)
05-26
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建签名证书》查看使用方法。
OpenSSL生成的ssl证书
01-11
这会生成一个有效期为365天的自签名证书`certificate.crt`。 5. **合并证书和私钥**:为了简化Nginx配置,你可以将证书和私钥合并到一个文件: ``` cat private.key certificate.crt > server.pem ``` **...
linux系统使用openssl生成自签名SSL证书并配置到nginx(生成伪https)
lookBackward的博客
02-02 1325
申明本文转载自:https://www.cnblogs.com/007sx/p/12583675.html 检查OpenSSL 检查是否已经安装opensslopenssl version 一般在CentOS7上,openssl已经默认安装好了。 生成自签名SSL证书和私钥 第一步:生成私钥 新建/etc/ssl/certs/www.ffcc.com目录并进入,后执行命令: openssl genrsa -des3 -out server.key 2048 输入一个4位以上的密码
linux 自动获取ssl证书,linux生成自验证ssl证书的具体命令和步骤
weixin_33758343的博客
05-09 342
1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 10242.去除key文件口令的命令:openssl rsa -in server.key -out server.key3.生成服务端证书openssl req -new -key server.key -out server.csr -config /etc/ssl/opens...
Windows下用openssl命令制作生成证书和自签名
kungercn的专栏
11-26 4068
这些天领导让我把web service 由原来的HTTP协议改用加密并且加上客户认证,系统原本用的gsoap,没办法只好调查了,现在总结了一些有关openssl生产证书的步骤: 1、 新建工作目录,将openssl安装路径下的apps/CA.pl 和 apps/openssl.cnf(在window该文件会显示成名为openssl的快速拨号程序)文件复制到该路径。可以修改openssl.cnf
使用OpenSSL生成自签名证书和格式转换
FLY的博客
07-27 2431
openssl saml saml2 genrsa req pkcs12 rsa x509 pkcs8
使用OpenSSL生成证书 pem文件的生成 celery Security
0x8g1T9E-
04-16 1万+
找了很久,找到了一篇生成pem文件的文章(找了很多篇,有些生成的pem文件不对,当时被误导了很久)。(前面也花了好一些时间,才意识到自己要百度的内容:openssl如何生成pem公私钥),文章连接为:https://blog.csdn.net/m0_38080126/article/details/77609304 celery Securityhttps://docs.celeryproject.org/en/stable/userguide/security.html#id6 https://...
使用Openssl创建证书
dengao9681的博客
11-08 261
概述 SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送不被改变,即数据的完整性,现已成为该领域全球化的标准。 x509证书一般会用到三类文件,key,csr,crt。 Key是私用密钥,openssl格式,通常是r...
openssl生成ssl证书
weixin_34208283的博客
08-12 704
2019独角兽企业重金招聘Python工程师标准>>> ...
openssl创建签名证书
04-22
好的,我了解,您的问题是如何使用openssl创建签名证书。您可以按照以下步骤操作: 1. 生成私钥:运行以下命令生成一个私钥文件: openssl genrsa -out private_key.pem 4096 这将生成一个4096位的RSA私钥文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值