基本OpenSSL自建本地CA和签发用户证书

最新推荐文章于 2023-12-29 11:40:28 发布
置顶 最新推荐文章于 2023-12-29 11:40:28 发布
阅读量1.2k 收藏 4
点赞数 1
分类专栏: PKI/CA 文章标签: openssl CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq19970496/article/details/102783221
版权

本文以windows下自建CA为例。

目录

openssl下载与安装

下载地址:

http://slproweb.com/products/Win32OpenSSL.html?utm_source=so
在这里插入图片描述
OpenSSL 支持 32 位和 64 位,根据自己系统选择对应的安装包。

OpenSSL安装

安装默认安装,next and next。最后有一个打赏页,取消选择,点击”Finish“,安装完成。
在这里插入图片描述
安装验证:在命令提示窗口输入“openssl version”,显示版本信息表明安装成功。
在这里插入图片描述

CA体系介绍

在这里插入图片描述
CA首先有一个根CA,根CA是自签发生生成。为了考虑CA体系的安全和管理需要,根CA一般不直接签发用户证书;而是由根CA签发一个或者多个中间(中级)CA,由中间CA来签发最终用户CA。
例如:
在这里插入图片描述

CA目录准备

在进行自建CA部署之前,在D:\创建“rootca”主目录,在rootca下创建一个私钥目录(private)和一个证书目录(certs)。
在这里插入图片描述

OpenSSL自建CA部署

根据CA体系要求,我们第一步首选创建根CA。
打开 cmd 命令窗口(运行中输入cmd),切换到D:\rootca目录下。
在这里插入图片描述

创建根CA

创建根CA私钥

D:\rootca>openssl genrsa -aes256 -out private/rootca.key.pem 2048

在这里插入图片描述
输入私钥保护密码,为了方便后续操作方便,所有密码均设为123456。
在这里插入图片描述

创建根CA证书请求

openssl req -new -key private/rootca.key.pem -out private/rootca.csr -subj "/C=CN/ST=JS/L=NJ/O=TestCA/OU=Root CA/CN=TestCA Root CA" -config “C:/Program Files/OpenSSL-Win64/bin/cnf/openssl.cnf”

在这里插入图片描述
在这里插入图片描述

签发根CA证书

根CA证书的签发采用自签名方式,使用的第一步创建的私钥。

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/rootca.key.pem -in private/rootca.csr -out certs/rootca.cer

在这里插入图片描述
错误提示:
有效期设为7300时会报asn1格式错误,改为3650,可以成功,这个是日期编码的原因。

openssl x509 -req -days 7300 -sha1 -extensions v3_ca -signkey private/rootca.key.pem -in private/rootca.csr -out certs/rootca.cer

在这里插入图片描述
在“certs”目录生成了根CA证书“rootca.cer”。
在这里插入图片描述
在这里插入图片描述

签发中间(中级)CA

步骤与根CA类似,只有在签发中间CA是使用的是根CA证书私钥。

创建中间CA私钥。

D:\rootca>openssl genrsa -aes256 -out private/ca.key.pem 2048

在这里插入图片描述
在这里插入图片描述

创建中间CA证书请求

D:\rootca>openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=JS/L=NJ/O=TestCA/OU=TestCA L1/CN=TestCA Certificate Authority" -config "C:/Program Files/OpenSSL-Win64/bin/cnf/openssl.cnf"

在这里插入图片描述

由根CA签发中间CA

D:\rootca>openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/rootca.cer -CAkey private/rootca.key.pem -CAserial rootca.srl -CAcreateserial -in private/ca.csr -out certs/ca.cer

在这里插入图片描述
中间CA生成功,通过证书路径,可以看到上的上级证书(根CA)。
在这里插入图片描述

签发用户CA

用户CA是由中间CA签发的,到此为至根CA可以放到仓库好好保存起来啦。

创建用户CA私钥

D:\rootca>openssl genrsa -aes256 -out private/user.key.pem 2048

在这里插入图片描述
在这里插入图片描述

创建用户CA证书请求

D:\rootca>openssl req -new -key private/user.key.pem -out private/user.csr -subj "/C=CN/ST=JS/L=NJ/O=Alice/OU=Alice Li/CN=Test Company" -config "C:/Program Files/OpenSSL-Win64/bin/cnf/openssl.cnf"

在这里插入图片描述
在这里插入图片描述

由中间CA签发用户CA

D:\rootca>openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/user.csr -out certs/user.cer

在这里插入图片描述
在这里插入图片描述
到此为至整个自建CA已经搭建完成,且成功签发了一张用户CA,由于鄙人水平有限,不足之处请不吝赐教,希望大家共同进步。

索菲亚李
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
openssl自建ca并颁发证书
m_pNext的博客
12-20 589
ubuntu的官方帮助文档 https://help.ubuntu.com/community/OpenSSL#SS L_Certificates 目标        在同一台主机建立站点并访问,自建CA为该站颁发证书,使得在火狐浏览器访问该站时锁标识为绿色。 前提 已安 apache 和 openssl ubuntu 自带 apache 和 openssl 可使用以下命令查看二者的版本,若需更新查看该链接 apache2 -version openssl ve
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 5960
openssl ca
openssl创建CA签发证书
健忘16的博客
02-16 3007
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
openssl 创建ca 签发证书
10-10
openssl创建自己的ca 签发证书 创建多级ca 有具体例子
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
OPenssl生成证书
07-03
可生成CA.crt等web服务器的加密证书等,方法很详细,适合做实验用。
openssl生成CA证书
m0_46500807的博客
02-10 407
openssl生成CA证书 https://blog.csdn.net/cowbin2012/article/details/100134114
openssl生成ca证书流程
u013078871的博客
01-12 1297
先说总体流畅,下面再说具体的实施步骤 总体流程:
使用OpenSSL颁发CA证书
weixin_33835103的博客
08-14 122
使用OpenSSL颁发CA证书 CA服务器端 使用cd 切换到/etc/pki/CACA下使用命令(umask 66; openssl genrsa 2048 > private/cakey.pem)生成CA证书的私钥; 使用命令 ll private验证 使用命令openssl req -new -x509 -key private/cakey.p...
openssl创建CA证书教程
justlpf的专栏
09-21 2410
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
openssl,openssl生成私钥以及openssl生成证书
weixin_40754174的博客
04-04 1304
openssl、安perl工具、下载openssl
OpenSSL 建立CA中心
04-08
如何建立CA中心来管理签发证书很重要。这篇笔记给出了简单用例,创建简单的CA中心并签发证书
CA.zip_certificates_openssl 证书_数字证书
09-24
用Keytool和OpenSSL生成和签发数字证书
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
热门推荐
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 2999
openssl 证书 自签名 私有CA
记一次window10上openssl本地证书制作过程
最新发布
qq_42860875的博客
12-29 462
本次制作简单的ssl
openssl签发证书
吴东方的博客
12-28 6485
导言: 有时候,使用SSL协议是自己内部服务器使用的,这时可以不必去找第三方权威的CA机构做证书,可以做自签证书 使用openssl签发证书分为四个步骤:生成密钥对、生成证书请求、创建一个root CA签发证书 一、生成密钥对 1、生成rsa密钥 (1)生成私钥 使用命令openssl genrsa: openssl genrsa -out private.key 2048 如果想为这个key值加密,可使用命令: openssl genrsa -aes128 -out private
linux学习之路之使用openssl创建私钥CA及使用CA为客户端颁发证书
weixin_34221276的博客
08-17 296
创建CA(Certificate Authority)CA的储存格式主要有2种:x509和pkcs12x509是目前最主流的CA储存格式,在x509格式的证书中,储存的内容主要有:证书的公钥和使用期限证书的合法拥有着证书该如何被使用CA的信息...
Postman接口自动化测试之— 请求参数进行MD5/SHA256摘要计算
qq19970496的博客
11-06 6729
在接口测试过程时常需要的参数是MD5/SHA值,那个值是怎么来的,我们怎样才能获取这样的数值呢? 摘要的定义,请参阅鄙人另一篇博客 Jmeter接口测试:shell脚本实现sha256算法加密 https://blog.csdn.net/qq19970496/article/details/102804407 今天给大家介绍在postman中如何计算摘要值。 共两步: 1、在预置请求脚本中添加摘要...
openssl签发ca自签名证书
04-04
以下是使用OpenSSL签发CA自签名证书的步骤: 1. 生成私钥文件: ``` openssl genpkey -algorithm RSA -out ca.key ``` 2. 生成自签名证书请求文件: ``` openssl req -new -key ca.key -out ca.csr ``` 在此过程中,您需要输入一些信息,如国家/地区代码、省/市、组织、Common Name等。Common Name应设置为您的CA的名称。 3. 签发自签名证书: ``` openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` 此命令将使用您的私钥文件签署证书请求文件,并生成自签名证书。在此过程中,您需要设置证书的有效期限和其他信息。 4. 验证证书: ``` openssl x509 -noout -text -in ca.crt ``` 此命令将显示证书的详细信息,并验证证书是否有效。 完成了这些步骤后,您就可以使用您的CA证书进行其他证书签发和验证了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

索菲亚李

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值