使用openssl生成SAN证书 多个注意点

最新推荐文章于 2022-12-14 14:48:01 发布
最新推荐文章于 2022-12-14 14:48:01 发布
阅读量625 收藏
点赞数 1
分类专栏: Linux 文章标签: 服务器 linux https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35306993/article/details/126907049
版权

转自原文:https://blog.csdn.net/a145127/article/details/126311442 补充了几个注意点
前言
由于Golang 1.17以上强制使用SAN证书,故,需要在此进行生成。
如果,系统中安装了git、mingw64工具的话,就无需再安装openssl了,否则需要单独安装openssl。
win10安装与下载
其他系统请参考官方

***注意点 ***:

  • windows下面一直报错,请不要折腾环境,换Linux系统你会舒心很多
  • 生成证书命令 会有多处 需要输入密码,注意看提示 不要忽略密码输入
  • 最后生成的pem文件 如果报错,请不要纠结,再来一遍!
  • pem文件的验收,cat xxx.pem 文件 有内容 表示成功,否则就再来一遍吧

1.创建一个“cert”目录用于,保存证书和配置文件。

2.创建配置文件(openssl.cnf),并保存到“cert”目录下,内容如下:

[ CA_default ]
copy_extensions = copy
 
[req]
distinguished_name = req_distinguished_name
x509_extensions = v3_req
prompt = no
 
[req_distinguished_name]
# 国家
C = CN
# 省份
ST = Shenzhen
# 城市
L = Shenzhen
# 组织
O = Arvin
# 部门
OU = Arvin
# 域名
CN = test.example.com
 
[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
 
[alt_names]
# 解析域名
DNS.1 = *.test.example.com
# 可配置多个域名,如下
DNS.2 = *.example.com

3.生成根证书(rootCa)

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成私钥,密码可以输入123456
$ openssl genrsa -des3 -out ca.key 2048
 
# 使用私钥来签名证书
$ openssl req -new -key ca.key -out ca.csr
 
# 使用私钥+证书来生成公钥
$ openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

4.在“cert”目录下,分别创建“server”、“client”目录,它们用来保存服务器密钥与客户端密钥。

5.生成服务器密钥

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成服务器私钥,密码输入123456
$ openssl genpkey -algorithm RSA -out server/server.key
 
# 使用私钥来签名证书
$ openssl req -new -nodes -key server/server.key -out server/server.csr -config openssl.cnf -extensions 'v3_req'
 
# 生成SAN证书
$ openssl x509 -req -in server/server.csr -out server/server.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions 'v3_req'

6.生成客户端密钥

使用命令行工具,进入到“cert”目录下,并执行如下命令:

# 生成客户端私钥,密码输入123456
$ openssl genpkey -algorithm RSA -out client/client.key
 
# 使用私钥来签名证书
$ openssl req -new -nodes -key client/client.key -out client/client.csr -config openssl.cnf -extensions 'v3_req'
 
# 生成SAN证书
$ openssl x509 -req -in client/client.csr -out client/client.pem -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions 'v3_req'

最后给出一个效果图:
在这里插入图片描述

段大帅
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 8995
为什么80%的码农都做不了架构师?>>> ...
使用OpenSSL生成Kubernetes证书的介绍
09-30
今天小编就为大家分享一篇关于使用OpenSSL生成Kubernetes证书的介绍,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1250
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1484
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
SAN的自建HTTPS
weixin_43426254的博客
12-14 318
本文应用场景:使用OPENSSL自建HTTPS,并配置Apache2(信息安全实践课) 在高版本的浏览器中,使用HTTPS,浏览器需要检查SAN(Subject Alternative Name) ,配置时如果只有CN(CommonName)是不够的,会有如下警告,打开浏览器的控制面板中的Security,会发现提示去缺少SAN,解决方法就是按照如下的方式配置,其他博客步骤中做一小小的改动即可。
使用openssl生成SAN证书
Arvin
08-12 2318
使用openssl生成SAN证书
Windows下安装OpenSSL及其使用
a19860903的专栏
10-25 2万+
1. 下载最新版本的Perl,安装后重启系统。 http://downloads.activestate.com/ActivePerl/ 2.下载 latest openssl并解压到C:\openssl-0.9.8k。 http://www.openssl.org/source/ 参考openssl目录下的install.win32说明进行安装: 1、进入解压目
生成自签名SAN/UCC证书
qq_43073907的博客
08-19 351
生成自签名SAN/UCC证书
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
使用openssl生成单向ssl证书
04-04
使用openssl生成单向ssl证书,此方法生成证书可以用于基于boost.asio库的SSL通讯测试中。基于基于boost.asio库SSL通讯测试程序可参见本人其他资源。
证书详解及使用openssl生成自签证书SAN多域名证书
五侠的博客
11-01 1997
生成自签证书 生成SAN多域名证书 使用私有CA签发证书
window下生成SANs证书给ingress用
weixin_41020960的博客
12-12 469
openssl下载地址:http://slproweb.com/products/Win32OpenSSL.html下载指定版本exe安装。
windows安装OpenSSL
热门推荐
小小陈的博客
10-28 3万+
说明 openssl是一个强大的安全套接字密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其他目的使用openssl整个软件可以分为三个主要的功能部分:密码算法库、SSL协议库以及应用程序。 安装openssl有两种方式,第一种是下载源码,自己编译;第二种是装上安装包即可运行 安装方式一 建议直接跳过,看第二种安装方式 1、下载 打开官网https://www.openssl.org 找到对应版本下载,我这里是windows的64位 ..
OpenSSL创建带SAN扩展的证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
SANs证书生成
Matthew__M的博客
06-08 1818
证书
怎么简单的生成SSL证书
蔚可云的博客
11-25 1万+
下面小编给大家说一下SSL证书生成的方法: 第1步:生成私钥 我们一般运用openSSL这个工具来生成一个RSA私钥 说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。 注意:一般生成私钥,需要至少一个 4位的密码。 第2步: CSR生成私钥后,那么此时就可以创建csr文件了。 此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(ssl证书申请​​),CA验证过请求者的身份之后,会出具签名证书(很贵)。 说明:需要依次输入国家,地区,城市.
openssl 生成签名和增加多DNS支持
ssj901217的博客
04-20 2924
1. 做为CA机构生成自签名 1.1. 生成RSA私钥      openssl genrsa -out ca_rsa_private.key 2048   1.2 生成自签名证书 openssl req -new -x509 -days 365 -key ca_rsa_private.key -out ca_cert.crt   1.3 把自签名给客户端做为根证书   ...
如何使用openssl生成ca证书
最新发布
07-25
使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令生成一个新的私钥文件(例如ca.key): ```shell openssl genrsa -out ca.key 2048 ``` 这将生成一个2048位的RSA私钥文件。 3. 创建证书请求:使用私钥文件创建证书请求(CSR)。运行以下命令: ```shell openssl req -new -key ca.key -out ca.csr ``` 在运行命令后,你需要提供一些组织和地理位置信息。 4. 自签名证书使用CSR文件自签名证书。运行以下命令: ```shell openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 这将生成自签名的CA证书文件(例如ca.crt)。 5. 验证证书:你可以使用以下命令验证生成证书: ```shell openssl x509 -in ca.crt -text -noout ``` 这将显示证书的详细信息,包括颁发者、有效期等。 现在你已经成功生成了自签名的CA证书。请注意,这只是一个简单示例,用于了解如何使用OpenSSL生成CA证书。在实际使用中,你可能需要更多的配置和选项来满足你的需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值