openssl制作带扩展的SSL证书

于 2023-12-01 19:50:42 发布
阅读量1.1k 收藏 23
点赞数 29
文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31539845/article/details/134742688
版权

1.携带crl分发点的证书

openssl ca -extensions v3_ca -in ./demoCA/user1.csr -out ./demoCA/rsa1.pem -days 3650 -CAcreateserial -CA ./demoCA/cacert.pem -CAkey ./demoCA/private/cakey.pem -CAserial serial -extfile ./demoCA/mycrl.cnf

mycrl.cnf文件内容:

crlDistributionPoints=URI:http://192.168.120.61/cacert.crl

(URI填写一个http服务器,用于下载crl文件)

2.携带AIA扩展,用于测试ocspstapling的证书

========中级CA签发==============

1、生成rsaCA 证书

openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 #生成CA密钥(私钥)

openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.csr #生成 CA 证书请求

openssl ca -selfsign -extensions v3_ca -days 3650 -in ./demoCA/cacert.csr -out ./demoCA/cacert.pem

2、生成rsa中级CA 证书

openssl genrsa -des3 -out ./demoCA/private/interca.key 2048

openssl req -new -days 3650 -key ./demoCA/private/interca.key -out ./demoCA/interca.csr

openssl ca -extensions v3_ca -days 3650 -in ./demoCA/interca.csr -out ./demoCA/newcerts/interca.cer -cert ./demoCA/cacert.pem -keyfile ./demoCA/private/cakey.pem

3、生成带AIA扩展的rsa用户证书(中级证书签发)

openssl genrsa -des3 -out ./demoCA/private/user1.key 2048

openssl req -new -days 3650 -key ./demoCA/private/user1.key -out ./demoCA/user1.csr

openssl ca -md sha256 -days 3650 -in ./demoCA/user1.csr -out ./demoCA/newcerts/user1.cer -cert ./demoCA/newcerts/interca.cer -keyfile ./demoCA/private/interca.key -extfile ./demoCA/ocap.cnf

========根CA签发==============

1、生成rsaCA 证书

openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 #生成CA密钥(私钥)

openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.csr #生成 CA 证书请求

openssl ca -selfsign -extensions v3_ca -days 3650 -in ./demoCA/cacert.csr -out ./demoCA/cacert.pem

2、生成带AIA扩展的rsa用户证书(根证书签发)

openssl genrsa -des3 -out ./demoCA/private/user2.key 2048

openssl req -new -days 3650 -key ./demoCA/private/user1.key -out ./demoCA/user2.csr

openssl ca -md sha256 -days 3650 -in ./demoCA/user1.csr -out ./demoCA/newcerts/user1.cer -cert ./demoCA/cacert.pem -keyfile ./demoCA/private/cakey.pem -extfile ./demoCA/ocap.cnf

----ocap.cnf文件内容-------

authorityInfoAccess = @ocsp_section

[ ocsp_section ]

caIssuers;URI.0 = http://192.168.120.61/cacert.pem

OCSP;URI.0 = http://192.168.120.61:8888

caIssuers;URI.0后面填写的是用于下载签发crl的ca证书,基于此验证crl有效性

OCSP;URI.0填写ocsp服务器地址,该服务器一般是签发此证书的CA开启,才能基于信任关系验证ocsp证书的有效性

========一些其他操作==============
制作证书链:
openssl crl2pkcs7 -certfile ./demoCA/cacert.pem -certfile ./demoCA/newcerts/interca.cer -nocrl -out ./demoCA/rsa.chain.p7b   转换p7b格式
openssl pkcs7 -print_certs -in ./demoCA/rsa.chain.p7b -out ./demoCA/rsa.chain  p7b转成chain

启ocsp服务:
openssl ocsp -index ./demoCA/index.txt -CA ./rsa.chain -rsigner ./demoCA/newcerts/interca.cer -rkey ./demoCA/private/interca.key  -port 8888 -text -ndays 7

至此,大家有没有发现,一般制作带扩展的证书,都会用到配置文件,openssl使用-extfile参数来指定配置文件路径即可。

在线升级
关注
  • 29
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
制作RSA非对称加密证书(pfx\der)openssl
10-23
DER(Distinguished Encoding Rules)是X.509证书的标准编码方式,它是ASCII码的二进制表示,通常扩展名为.cer或.der,适用于跨平台传输。 以下是使用openssl创建RSA非对称加密证书的步骤: 1. **生成RSA密钥对** ...
OpenSSL 解析P12格式证书文件
04-06
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含了一系列加密算法、证书工具和其他相关功能。在IT领域,OpenSSL 被广泛用于处理数字证书,包括解析、生成和管理各种类型的证书文件...
使用openssl创建三级时间戳扩展证书的方法
student_zz的博客
06-06 1670
使用openssl创建三级时间戳扩展证书的方法     直接进入主题,首先先下载好openssl,下载地址https://www.openssl.org/source/。具体看下图:         至于openssl的安装网上有很多教程,查一下就好了,你只要保证安装好它就行...
openssl 生成X509 V3 extension的证书
FRcheng的专栏
06-30 3101
openssl SAN扩展 自签名CA 中间CA
27.openssl编程——OCSP
艾小小雨的博客
01-25 2496
27.1 概述 在线证书状态协议(OCSP, Online Certificate Status Protocol,rfc2560)用于实时表明证书状态。OCSP客户端通过查询OCSP服务来确定一个证书的状态。OCSP可以通过HTTP协议来实现。 27.2 Openssl实现 openssl在crypto/ocsp目录实现了ocsp模块,包括客户端和服务端各种函数 *ocsp_a...
OpenSSL 编程 二:搭建 CA
OnlyLove_的博客
06-26 8294
证书 – 为公钥加上数字签名证书是由认证机构颁发的,使用者需要对证书进行验证,因此如果证书的格式千奇百怪那就不方便了。于是,人们制定了证书的标准规范,其中使用最广泛的是由ITU(International TelecommumcationUnion,国际电信联盟)和ISO(IntemationalOrganizationforStandardization, 国际标准化组织)制定的X.509规范。很多应用程序都支持x.509并将其作为证书生成和交换的标准规范。X.509是一种非常通用的证书格式。所有的证书
证书详解及使用openssl生成自签证书与SAN多域名证书
五侠的博客
11-01 2101
生成自签证书 生成SAN多域名证书 使用私有CA签发证书
OCSP介绍以及使用OpenSSL编程实现
lt4959的专栏
10-15 4806
首先我们知道在PKI体系中,证书的生命周期如下所示, 对于一个可信任的 CA 机构颁发的有效证书,在证书到期之前,只要 CA 没有把其吊销,那么这个证书就是有效可信任的。有时,由于某些特殊原因(比如私钥泄漏,证书信息有误,CA 有漏洞被黑客利用,颁发了其他域名的证书等等),需要吊销某些证书。那浏览器或者客户端如何知道当前使用的证书已经被吊销了呢?为解决对CA证书有效性方面的查询,PKI引入了CRL(Certificate Revocation List)和OCSP(Online Certificate
grafana的https协议证书配置
08-14
第一步:自己制作一个证书使用openssl制作然后填写一些信息,证书制作成功 第二步:使用我制作好的证书,压缩包里有修改Grafana的grafana.ini,修改配置如下:改protocol 为 httpsprotocol = https,证书路径(路径改...
OpenSSL证书管理
09-13
在本文档中,我们将深入探讨如何使用OpenSSL制作和管理证书,这些证书在数字证书认证和Java安全环境中至关重要。首先,我们来看构建根证书的过程: 1. **生成根证书私钥**: 使用`openssl genrsa`命令创建一个...
Linux下用Openssl生成证书[归类].pdf
10-11
在Linux环境下,使用OpenSSL生成SSL X.509证书涉及一系列步骤,这些步骤对于软件开发,特别是涉及网络服务安全的项目至关重要。X.509证书是公钥基础设施(PKI)的一部分,用于验证服务器或客户端的身份。以下是一份...
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1357
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
openssl一套证书-配置文件和证书签发
liudong200618的博客
05-08 949
x509 openssl csr
使用Openssl生成根证书CA以及签发子证书
technologyleader的专栏
12-17 4261
openssl是当前非常流行的SSL密码库工具,如果服务器或者网站需要使用https协议,就需要使用openssl工具生成证书。 之前在Windows上有用Perl编译过OpenSSL,这次项目上要搭一个https server需要用它来生成自签名证书,其中我的配置文件在openssl/apps/openssl.cnf,编译后openssl.exe在openssl/out32dll文件夹中。 准备工作: 需要在系统系统配置文件中配置openssl.cnf的路径,后面生成证书时会用到。 下面.
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2312
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
通过openSSL生成自签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
通过OpenSSL获取证书扩展属性之二:“密钥用法”和"增强型密钥用法"
密码开发者
09-10 1万+
介绍如何使用Openssl解析CA证书、获取“密钥用法”和“增强型密钥用法”扩展属性。
openssl生成自签名证书流程
zhiboqingyun的博客
02-21 1544
1 数字证书概念 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书
openssl自己生成key私钥、crt证书
qq_44637753的博客
04-13 6363
本文改编自openssl官网openssl食谱 Nginx添加ssl模块:https://blog.csdn.net/qq_44637753/article/details/124141722?spm=1001.2014.3001.5501 openssl生成crt、key一、密钥和证书管理二、生成私钥1.生成 RSA 密钥,使用以下 genpkey 命令:2.使用rsa命令查看密钥的结构:三、创建证书签名请求1.创建新证书签名请求(CSR):2.从现有证书创建(CSR):3.无人值守的 CSR 生成:四、
openssl制作ssl证书
最新发布
12-15
以下是使用OpenSSL制作SSL证书的步骤: 1. 生成私钥(.key) ```shell openssl genrsa -out server.key 2048 ``` 2. 生成证书请求(.csr) ```shell openssl req -new -key server.key -out server.csr ``` 在这一步中,你需要输入一些信息,例如国家、省份、城市、组织、单位名称、公共名称等。请确保公共名称与你要使用证书的域名相匹配。 3. 用CA根证书签名得到证书(.crt) ```shell openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 ``` 在这一步中,你需要提供CA根证书和私钥,以及证书有效期。这将生成一个名为server.crt的证书文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值