openssl自建CA服务器自签证书服务器

最新推荐文章于 2024-03-22 17:53:46 发布
最新推荐文章于 2024-03-22 17:53:46 发布
阅读量739 收藏 4
点赞数 1
分类专栏: 网络安全 运维 文章标签: https ssl openssl 网络安全 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15753385/article/details/119149581
版权

自建CA服务器自签证书服务器
一、配置证书服务器模板

#修改openssl.cnf文件
vi /etc/pki/tls/openssl.cnf

#确保[ req ]下存在以下两行
[ req ]
distinguished_name      = req_distinguished_name
req_extensions = v3_req

#确保[ req_distinguished_name ]下没有 0.xxx 的标签,有的话把0.xxx的0.去掉
#[ v3_req ]最后一行新增如下一行内容
[ v3_req ]
subjectAltName = @alt_names

#新增 [ alt_names ]
[ alt_names ]
DNS.1 = *.test.com
DNS.2 = *.test.cc
IP.1 = 219.150.218.112
IP.2 = 192.168.1.248
IP.3 = 192.168.1.249
IP.4 = 172.20.31.88
IP.5 = 172.16.21.3
IP.6 = 113.219.200.35
IP.7 = 116.163.46.143

二、申请和转换证书
#CA根证书

openssl rand -out private/.rand 1000
openssl genrsa -out private/ca.key 2048
openssl req -new -key private/ca.key -out private/ca.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=EastRayCloud CA"
openssl x509 -req -days 36500 -sha1 -extensions v3_ca -signkey private/ca.key -in private/ca.csr -out certs/ca.crt

#根证书格式转换

openssl pkcs12 -export -cacerts -inkey private/ca.key -in certs/ca.crt -out certs/ca.p12
keytool -importkeystore -v  -srckeystore certs/ca.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/ca.keystore -deststoretype jks -deststorepass 9865321

#根签发服务器证书或客户端证书

openssl genrsa -out private/server.key 2048
openssl req -new -key private/server.key -out private/server.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=*.eastraycloud.com" -config /etc/pki/tls/openssl.cnf
openssl ca -days 36500 -in private/server.csr -out certs/server.crt -cert certs/ca.crt -keyfile private/ca.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
#openssl ca -days 36500 -in private/client.csr -out certs/client.crt -cert certs/ca.crt -keyfile private/ca.key -extensions v3_req -config /etc/pki/tls/openssl.cnf

#服务器证书格式转换

openssl pkcs12 -export -clcerts -inkey private/server.key -in certs/domain.crt -out certs/domain.p12
keytool -importkeystore -v  -srckeystore certs/domain.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/domain.keystore -deststoretype jks -deststorepass 9865321

#签发客户端证书

openssl genrsa -out private/client.key 2048
openssl req -new -key private/client.key -out private/client.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=*.test.com"
openssl x509 -req -days 36500 -in private/client.csr -signkey client.key -out certs/client.crt

#客户端证书格式转换

openssl pkcs12 -export -inkey private/client.key -in certs/client.cer -out certs/client.p12
keytool -importkeystore -v  -srckeystore certs/test.domain.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/test.domain.keystore -deststoretype jks -deststorepass 9865321

#重复签发操作

rm -f /etc/pki/CA/index.txt* /etc/pki/CA/serial*
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
echo 01 > /etc/pki/CA/serial

三、普通加密证书申请(用于加密不验证的情况)

openssl genrsa -out private/test.domain.key 2048
openssl req -new -key private/test.domain.key -out private/test.domain.csr
openssl x509 -req -days 36500 -in private/test.domain.csr -signkey private/test.domain.key -out certs/test.domain.crt

注:想要受浏览器信任,必须下载根CA证书导入到浏览器的‘受信任的根证书颁发机构’

松果177
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络安全—部署CA服务器_ca系统的网络配置策略
2401_83740107的博客
04-21 1074
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
openssl自签名CA根证、服务端和客户端证生成并模拟单向/双向证验证
赴前尘
02-03 1421
openssl自签名CA根证、服务端和客户端证生成并模拟单向/双向证验证
我实践:自建CA及证颁发(openssl)
超级无敌棒棒糖
09-30 814
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证1.3 证颁发之配置文件准备openssl.cnf2 颁发证2.1 用户自己生成秘钥与证请求(可以在自己的PC上完成)2.2 CA服务器颁发证2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证请求中添加v3扩展:在CA颁发时启用v3扩展总结另:3 吊销证4 更新吊销证列表5 客户端安装ca6 自签名证和私有CA签名的证的区别7 good8 openssl.cnf: 用心之作,用openss
搭建CA认证中心及搭建https实战
qq_42170102的博客
03-25 7066
自建CA客户端及使用nginx搭建https 一、CA简单介绍CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证(也就是服务端证,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA,并且在用户进行访问的时候,对用户的信息加密,保障了用户的信息安全。 二、OpenSSL实现CA认证中心的搭建 1、搭建环境 本文使用centos7 2~3台
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证
树下一少年的博客
01-07 8529
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证 4.生成证 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
Linux 搭建私有CA服务器之超详细版本
热门推荐
Harry_z666的博客
08-24 1万+
一、CA简介 CA是什么?CA是Certificate Authority的简写,从字面意思翻译过来是凭证管理中心,认证授权。它有点类似我们生活中的身份证颁发机构,这里的CA就相当于生活中颁发身份证的机构。不同于生活中的颁发机构,这里的CA是给服务器颁发证。颁发证的目的同生活中的办理身份证的目的类似,都是为了证明一件事,生活中的身份证可以证明我们是一个合法的公民,而服务器颁发证的目的也是证明我们服务是一个合法的服务器,换句话说就是有了证我们就可以清楚知道我们访问的服务器到底是不是我们真正想访问的服
简单自建SSL(ios无法使用)
最新发布
qq_43278717的博客
03-22 443
Common Name (eg, your name or your server’s hostname) []: 这里填写你的域名,也可以使用通配符:*.xxx.com,这样所有子域名都可以使用这个证subjectAltName 可以指定多个,如DNS.2 = app2.xxx.com。
使用 OpenSSL 创建生成CA服务器客户端证及密钥
01-16
在测试环境中,你可以自签证,但在生产环境中,应该使用权威的公共CA或者购买商业证,以提高用户的信任度。 总结来说,OpenSSL 提供了生成和管理SSL的全套工具,通过创建CA服务器和客户端证,...
数字证实战经验-Openssl自建CA中心及签发证
10-24
2. 创建根CA:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证签名请求(CSR),然后自签发此请求以创建根CA。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
linux系统openssl 实现ssl签证
12-02
当涉及到局域网内的服务器或客户端通信时,自签证是一种常见的解决方案,特别是对于测试环境或内部网络,因为它们不必通过权威的证颁发机构(CA)进行验证。Linux系统,如Ubuntu、CentOS、openEuler等,提供了...
openssl生成ca服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
openssl自签
09-01
OpenSSL自签名、HTTPS生成原理和部署细节 本文主要介绍了 OpenSSL自签名的原理和...通过使用 OpenSSL 生成密钥和证,我们可以自己扮演 CA 机构,自己给自己的服务器颁发证,从而确保数据的安全。
银河麒麟服务器操作系统搭建证服务器并颁发可用于签名的证步骤说明
yeyuningzi的博客
01-17 2302
银河麒麟服务器操作系统中使用openssl部署并签发用于签名的测试证步骤说明
自建HTTPS
阿祥_CSDN
07-13 5665
在做 Web 相关开发的时候,有可能需要在本地搭建 https 的环境,而在 https 环境的过程中,需要私钥和证文件,本文提供自建的方案供读者参考。
使用CA签发的服务器搭建Tomcat双向SSL认证服务
lucet的成长之路
10-05 1504
第一部分,先说证的申请。 这步是要到正规的CA公司申请正式的设备证必须走的步骤。 1、先生成证的密钥对 打开命令行,切换到某个自己新建的目录下,执行如下命令 keytool -genkey -keyalg RSA -keysize 1024 -dname “CN=w
OpenSSL自签名成CA服务与CA服务器客户端生成证
Yan_bb_5的博客
04-13 404
1.生成CA私钥,私钥中包含了公钥 openssl genrsa -out CA.key 2048 2.生成CA自签名证请求文件 openssl req -new -key CA.key -out CA.csr -subj "/C=CN/ST=SC/L=CD/O=westone/OU=ops/CN=*.westone.com/emailAddress=yan.hai@qq.com" 3.生成CA自签名证 openssl x509 -req -days 3650 -in CA.csr -sig...
openssl CA服务器模拟指令CA详解
yexiangCSDN的专栏
02-01 957
1、CA概述 首先我们需要明确CACA服务器的区别,CA是指集技术和管理与一体的庞大机构,不仅要求技术能力,还需要相应的管理能力。CA服务器相对来说比较简单,完成指定功能的一个应用程序。具体功能包括接受申请证的请求、审核证请求、签发证、发布证、吊销证、生成和发布证吊销列表及证库的管理。 openssl提供了ca指令来模拟ca服务器,完成上述功能。上述功能繁杂,本文则主要
Windows openssl自建CA并分发证(ECC)
c630843901的博客
07-06 3313
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证我们需要使用证来签名服务器和客户端的证,使用私钥生成根证,为此我们创建几个目录,用来存储证,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件夹生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA 使用上一步生成的CA私钥,生成CA
openssl实现自建CA服务器
weixin_33785108的博客
03-12 659
早期在网络上传输的数据都是明文的,像http,ftp,telnet等协议,这样非常的不安全,只需要简单的抓包分析一下,你的账号和口令就一览无余。所以脑细胞发达的大神们自然不能坐视不管,于是乎各种加密算法就此诞生了。其实加密的历史非常久远了,很久很久以前,江湖人士为了防止隔墙有耳就发明了“行话”或者称之为“暗语”,这样即使咱们听到他们说什么,却也不知道人家在说什么,这对于我们来...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值