使用openssl,在windows sever上创建ca,以及签发证书

已于 2024-02-21 17:19:43 修改
阅读量542 收藏
点赞数 3
文章标签: ssl CA ssl证书
于 2024-02-21 16:16:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37293230/article/details/136214311
版权

创建2个目录,一个ca,一个certs

  1. ca: 存放ca相关数据
  2. certs: 存放申请的公私钥和配置

1 创建CA

# 创建ca私钥,需要指定密码
openssl genrsa -aes256 -out ca.key 4096
# 生成证书
openssl req -x509 -new -nodes -key ca.key -sha256 -days 7300 -out ca.crt
# 查看证书
openssl x509 -in ca.crt -noout -text

2.创建域名附加配置文件,新建文件cert.ext 输入如下内容保存

没有这个浏览器不认识,主要是dns这行的附加数据

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = ai.etronprobe.com
DNS.2 = etronprobe.com

3 申请和签发证书

cd ..
mkdir certs
cd certs

# 生成私钥
openssl genrsa -out ai.key 2048
# 创建申请
openssl req -new -key ai.key -out ai.csr
# 使用CA签署ssl证书
# ssl证书有效期10年
openssl x509 -req -in ai.csr -out ai.crt -days 3650 -CAcreateserial -CA ../ca/ca.crt -CAkey ../ca/ca.key -CAserial serial -extfile cert.ext

4 可选命令

#查看证书
openssl x509 -in ai.crt -noout -text

#验证证书是否通过
openssl verify -CAfile ../ca/ca.crt ai.crt

#合并公私钥(如果需要,比如iis)
openssl pkcs12 -export -in ai.crt -inkey ai.key -out ai.pfx

# 将crt转为p7b
openssl crl2pkcs7 -nocrl -out ca.p7b -certfile ca.crt

5. 注,文件类型:

  1. crt/cer 是证书/公钥
  2. csr 申请
  3. pem/key 私钥
  4. pfx/p12 公私钥合体
  5. p7b 证书链,理解为crt的组合

6 问题排查

  1. firefox 报错,证书导不进去,或者不认根证书. 请使用
#查看证书
openssl x509 -in ca.crt -noout -text

命令查看是否包含这一句,如果不含,则创建的ca证书未被声明为: 基本约束 证书颁发机构 是
则firefox不认ca根证书,所以无效,但是chrome,edge不管这个,都认

 X509v3 Basic Constraints: critical
                CA:TRUE

应该是由于

# 类似于此语句中
openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer
# 这段没生效导致的
-extensions v3_ca

解决方案:用本文的命令来签发就好了

  1. 使用AD CS ,即windows自带的证书套件
    浏览器不认,报错:NET::ERR_CERT_COMMON_NAME_INVALID
    是因为证书没有嵌入域名信息,即证书中缺少这个信息
DNS.1 = ai.etronprobe.com
DNS.2 = etronprobe.com

签发时需要加入附加信息

TomcatLikeYou
关注
  • 3
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
Openssl签发证书初始工程,基于3层证书结构,root ca,intermediate ca及三级证书签发;支持泛域名、多域名。
openssl创建CA证书教程
justlpf的专栏
09-21 3363
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
Windows openssl自建CA并分发证书(ECC)
c630843901的博客
07-06 3324
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证书我们需要使用证书来签名服务器和客户端的证书使用私钥生成根证书,为此我们创建几个目录,用来存储证书,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件夹生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA证书 使用上一步生成的CA私钥,生成CA证书
WindowsOpenSSL创建CA证书以及客户端和服务器端证书
热门推荐
iihero@CSDN
12-28 1万+
由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下:最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。创建证书,我目前知道的大概这么几种:1.keytool   不能创建CA证书2.Sybase ASA自带的createcert.exe   好像不能创建PKCS12型证书3.OpenSSL   功能最强大。所以,这里干脆只介绍OpenSS
windows server https ca 证书 免费 自己创建 微信小程序 服务端使用证书
zhang8907xiaoyue的博客
10-04 1188
一、使用openssl生成ca证书 1、下载 openssl安装包和源码,如下图https://oomake.com/download/openssl 2、安装Win64 OpenSSL v1.0.1j 3、解压源码 解压openssl-1.0.1j.tar.gz,找到\openssl-1.0.1j\apps目录,拷贝demoCA目录和openssl.cnf文件到Openssl的安装目录下的bin目录下(即C:\OpenSSL-Win64\bin\) 二、使用openssl生成证书: 依次执
CA证书服务器搭建及证书申请
2202_75619972的博客
11-02 3150
证书服务器的搭建、web服务器证书的申请
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
openssl 创建ca 签发证书
10-10
本文将深入讲解如何使用OpenSSL创建自己的CA(Certificate Authority)并签发证书,以及构建多级CA的实践过程。 首先,让我们了解什么是CACA是数字证书的颁发机构,它负责验证请求证书的实体身份,并为其签发具有...
openssl创建ca 公私密钥 证书
07-13
在IT行业中,加密和安全通信是至关重要的环节,OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现工具包,同时也包含了用于创建数字证书、管理CA证书颁发机构)以及处理公钥基础设施(PKI)的相关工具。...
利用openssl自制CA证书
09-13
本教程将深入探讨如何利用开源工具openssl创建自定义的证书颁发机构(CA),并实现将CA证书安装到浏览器的受信任根证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL是一个强大的安全...
Windows Server 2003 环境 安装 CA证书服务器
君逍遥o
09-14 1243
Windows Server 2003 环境 安装 CA证书服务器
openssl创建CA签发证书
健忘16的博客
02-16 3619
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
Windows server:pkl(公钥基础设施)ca颁发web证书服务 环境&安装&搭建
鲍海超
02-25 2374
Windows server:pkl(公钥基础设施)ca颁发web证书服务 环境&安装&搭建
https-OPenSSL证书生成及自签名证书
jll126的博客
12-21 3621
TLS(Transport Layer Security) 是SSL(Secure Socket Layer) 的后续版本certmgr.msc,运行中输入可以查看证书管理器win+r。证书签名请求文件,一个文件的后缀。证书私钥,由key生成CSR,等待被签名。
windows服务器——部署PKI与证书服务
yj11290301的博客
06-23 2471
本章将会讲解Windows服务器——部署PKI与证书服务证书
Windows下用OpenSSL生成CA证书签发server端证书
白袍小将的博客
08-14 8859
一、先下载编译好的OpenSSL程序,并展开后放在E:盘,目录结构如下所示 目前放在的目录为:E:\OpensslX64 二、打开一个CMD控制台窗口,设置好openssl.cnf路径 用以下控制台命令进入到E:\OpensslX64\bin,并设置好openssl.cnf路径。 E: cd E:\OpensslX64\bin set OPENSSL_CONF=E:\OpensslX64\conf\openssl.cnf 三、在当前目录E:\OpensslX64\bin 里创建两个...
【全】OpenSSL创建生成CA证书、服务器、客户端证书及密钥说明
最新发布
weixin_41885845的博客
01-16 1919
使用OpenSSL生成密钥与证书,并进行双向验证
SSL双向认证以及证书的制作和使用
weixin_30500473的博客
10-26 2733
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器访问服务...
Windows server 2003 CA配置(一)
weixin_34254823的博客
10-04 311
CA:Certificate Authority,证书权威机构,也称为证书颁发机构或认证中心)是PKI中受信任的第三方实体.负责证书颁发、吊销、更新和续订等证书管理任务和CRL发布和事件日志记录等几项重要的任务。首先,主体发出证书申请,通常情况下,主体将生成密钥对,有时也可能由CA完成这一功能,然后主体将包含其公钥的证书申请提交给CA,等待年批准。CA在收到主体发来的证书申请...
windows系统上如何使用OpenSSL进行证书签发
03-29
Windows系统上使用OpenSSL进行证书签发,需要按照以下步骤操作: 1. 下载OpenSSL for Windows。可从OpenSSL官网下载,也可从第三方网站下载。下载后,安装OpenSSL。 2. 创建证书请求文件。使用OpenSSL生成证书请求文件,包含必要的信息,如证书类型、证书的密钥长度、证书所属的组织机构、证书的名称等。可以使用以下命令创建证书请求文件: ``` openssl req -new -newkey rsa:2048 -nodes -keyout example.key -out example.csr ``` 其中,example.key为生成的私钥文件,example.csr为生成的证书请求文件。 3. 提交证书请求文件。将证书请求文件发送给证书颁发机构(CA),以便颁发证书。 4. 安装证书。收到证书后,使用以下命令安装证书: ``` openssl pkcs12 -export -in example.crt -inkey example.key -out example.p12 ``` 其中,example.crt为颁发的证书文件,example.p12为生成的证书安装文件。 5. 配置服务器。将生成的证书安装文件安装到服务器上,并在服务器配置文件中指定证书文件和私钥文件的路径。 完成以上步骤后,即可使用OpenSSLWindows系统上进行证书签发

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值