openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证

已于 2024-02-03 23:24:39 修改
阅读量1.5k 收藏 10
点赞数 17
文章标签: 服务器 网络 ssl
于 2024-02-03 21:24:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36940806/article/details/136016480
版权

1. 生成根证书

1.1 生成CA证书私钥

openssl genrsa -aes256 -out ca.key 2048

1.2 取消密钥的密码保护

openssl rsa -in ca.key -out ca.key

1.3 生成根证书签发申请文件(csr文件)

openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=FJ/L=XM/O=NONE/OU=NONE/CN=localhost/emailAddress=test@test.com"

上述参数含义

  • req----执行证书签发命令

  • -new----新证书签发请求

  • -key----指定私钥路径

  • -out----输出的csr文件的路径

  • C-----国家(Country Name)

  • ST----省份(State or Province Name)

  • L----城市(Locality Name)

  • O----公司(Organization Name)

  • OU----部门(Organizational Unit Name)

  • CN----产品名(Common Name)

  • emailAddress----邮箱(Email Address)

1.4 生成自签发根证书(cer文件)

openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

上述参数含义
  • x509----生成x509格式证书
  • -req----输入csr文件
  • -days----证书的有效期(天)
  • -signkey----签发证书的私钥
  • -in----要输入的csr文件
  • -out----输出的cer证书文件

2. 生成服务端证书

2.1 生成服务端私钥

openssl genrsa -aes256 -out server.key 2048

2.2 取消密钥的密码保护

openssl rsa -in server.key -out server.key

2.3 生成服务端签发申请文件(csr文件)

openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=FJ/L=XM/O=NONE/OU=NONE/CN=localhost/emailAddress=test@test.com"

2.4 使用CA证书签署服务器证书

openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

上述参数含义
  • -CA----指定CA证书的路径
  • -CAkey----指定CA证书的私钥路径
  • -CAserial----指定证书序列号文件的路径
  • -CAcreateserial----表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀

3. 生成客户端证书

3.1 生成客户端私钥

openssl genrsa -aes256 -out client.key 2048

3.2 取消密钥的密码保护

openssl rsa -in client.key -out client.key

3.3 生成客户端端签发申请文件(csr文件)

openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=FJ/L=XM/O=NONE/OU=NONE/CN=localhost/emailAddress=test@test.com"

3.4 使用CA证书签署客户端器证书

openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer

4. 单向认证测试

4.1 服务端启动服务

openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 44444

4.2 客户端连接

openssl s_client -CAfile ca.cer -cert client.cer -key client.key -host 127.0.0.1 -port 44444

5. 双向认证测试

5.1 服务端启动服务

openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 44444 -Verify 1

5.2 客户端连接

openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -host 127.0.0.1 -port 44444

赴前尘
关注
  • 17
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
OpenSSL创建SSL证书
悦分享
06-03 4639
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
使用Openssl验证证书
rabbit729的专栏
02-06 1万+
 项目中遇到使用Openssl验证证书链的问题,在网上找了很长时间,发现这方面的资料很少,通过多方努力,总算实现了基本功能,为了给大家提供一下参考,本人实现了一个验证证书链的类,以供参考,由于本人也是刚刚接触Openssl,如果有不正确的地方,请大家多多指导/********************************************************************
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务和用户同时实现支持。 因为在网络传输的过程中,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
openssl 生成证书步骤
hinewcc的博客
05-08 2979
本地使用 openssl 生成证书
通过openSSL生成签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
Openssl 如何生成证书
linux_tcpdump的博客
10-16 2758
用途。
openssl 自建CA生成签名证书,导入证书
规则边缘的博客
07-21 1053
1. 自建CA #生成CA私钥 cd /etc/pki/CA && touch index.txt && echo 01 > serial cd /etc/pki/CA && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem #生成CA证书 #-x509:表示创建自签名证书而不是生成证书签名请求 openssl req -new -x509
使用 OpenSSL 创建生成CA 证书服务客户证书及密钥
01-16
总结来说,OpenSSL 提供了生成和管理SSL证书的全套工具,通过创建CA证书服务证书客户证书,我们可以实现SSL单向认证和双向认证,从而确保网络通信的安全。理解并熟练运用这些命令,对于任何需要处理加密通信...
Rockey Linux下OpenSSL制作自签名CA证书应用
最新发布
07-13
本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成签名CA证书,并应用于Web服务。 #### 一、系统环境与工具准备 1. **生成工具**: OpenSSL版本为3.0.7(1 Nov 2022),库版本同样为3.0.7。 2. **生成...
golang生成公钥私钥证书 及 自签名证书 通过云账号dns验证直接生成freessl证书 openssl常用方法介绍
10-25
1.go生成rsa证书签名证书 2.go生成ecc证书签名证书 3.go生成公钥私钥 4.对自已生成的公钥私钥进行签名,得到签名证书crt 5.通过设置云dns账号直接生成freessl证书 6.openssl一些惯用方法介绍 7.如生成pfx格式的...
ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书
09-22
标题中的"ca.rar_CA_ca派发自宿主_ca证书_openssl CISOCA_证书"表明这个压缩包文件与创建和管理数字证书有关,特别是涉及到一个自签名证书颁发机构(CA)。CA是互联网安全中至关重要的部分,它负责验证并签发数字...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
2. 创建根CA证书:使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创建根CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
OpenSSL生成签名证书及使用
@tangguo123 博客
07-10 2661
openssl 生成签名证书及使用
openssl生成自签证书各项含义
wshkeke1的博客
11-23 985
如果-keyout选项和-key选项均未给出,则使用配置文件中通过default_keyfile选项指定的文件名(如果存在)。-new 此选项生成新的证书请求。如果未给出-key选项,它将使用配置文件中指定的信息或通过-newkey和-pkeyopt选项给出的信息生成新的私钥,否则默认情况下为 2048 位长度的 RSA 密钥。-newkey rsa:2048 除非给出-key, 否则此选项用于生成新的私钥。此选项意味着使用-new标志来创建新的证书请求或在给出 -x509 的情况下创建新的证书
在Linux上使用openssl生成CA认证文件并为服务器和客户颁发CA签名证书
树下一少年的博客
01-07 8741
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户生成
openssl生成签名证书
m0_61747530的博客
06-05 1700
openssl生成签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1660
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
openssl签发ca签名证书
04-04
以下是使用OpenSSL签发CA签名证书的步骤: 1. 生成私钥文件: ``` openssl genpkey -algorithm RSA -out ca.key ``` 2. 生成签名证书请求文件: ``` openssl req -new -key ca.key -out ca.csr ``` 在此过程中,您需要输入一些信息,如国家/地区代码、省/市、组织、Common Name等。Common Name应设置为您的CA的名称。 3. 签发自签名证书: ``` openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` 此命令将使用您的私钥文件签署证书请求文件,并生成签名证书。在此过程中,您需要设置证书的有效期限和其他信息。 4. 验证证书: ``` openssl x509 -noout -text -in ca.crt ``` 此命令将显示证书的详细信息,并验证证书是否有效。 完成了这些步骤后,您就可以使用您的CA证书进行其他证书的签发和验证了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赴前尘

喜欢我的文章?请我喝杯咖啡吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值