使用openssl创建自签名的证书链

最新推荐文章于 2024-08-04 20:46:31 发布
最新推荐文章于 2024-08-04 20:46:31 发布
阅读量2k 收藏 5
点赞数
文章标签: p2p linq c#
原文链接:https://www.jianshu.com/p/16fd25999c32
版权

第一步:生成自签名的根证书

$ openssl req -x509 \
    -newkey rsa \
    -outform PEM -out tls-rootca.pem \
    -keyform PEM -keyout tls-rootca.key.pem \
    -days 35600 \
    -nodes \
    -subj "/C=cn/O=mycomp/OU=mygroup/CN=rootca"

结果是生成根证书文件:tls-rootca.pemtls-rootca.key.pem

查看根证书的内容:

$ openssl x509 -text -noout -in tls-rootca.pem
    ...
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=cn, O=mycomp, OU=mygroup, CN=rootca
        Validity
            Not Before: Aug  5 15:44:47 2021 GMT
            Not After : Jan 24 15:44:47 2119 GMT
        Subject: C=cn, O=mycomp, OU=mygroup, CN=rootca
        Subject Public Key Info:
            ...
            X509v3 Basic Constraints:
                CA:TRUE
    ...

第二步,生成中间证书

2.1 生成csr和key文件

$ openssl req -newkey rsa:2048 \
  -outform PEM -out tls-intermca.csr \
  -keyform PEM -keyout tls-intermca.key.pem \
  -nodes \
  -extensions v3_ca \
  -config /etc/pki/tls/openssl.cnf \
  -subj "/C=cn/O=mycomp/OU=mygroup/CN=intermca"

这一步的结果是生成tls-intermca.csrtls-intermca.key.pem

2.2 用rootca对intermca进行签发

$ openssl x509 \
  -req -days 365 \
  -in tls-intermca.csr \
  -out tls-intermca.pem \
  -CA tls-rootca.pem \
  -CAkey tls-rootca.key.pem \
  -CAcreateserial \
  -extensions v3_ca \
  -extfile /etc/pki/tls/openssl.cnf

这一步的结果是生成tls-rootca.srltls-intermca.pem,其中tls-rootca.srl是rootca签发的serial文件,先不用管它;我们关注生成的intermca证书文件tls-intermca.pem.

$ openssl x509 -text -noout -in tls-intermca.pem
    ...
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=cn, O=mycomp, OU=mygroup, CN=rootca
        Validity
            Not Before: Aug  5 16:23:45 2021 GMT
            Not After : Aug  5 16:23:45 2022 GMT
        Subject: C=cn, O=mycomp, OU=mygroup, CN=intermca
        Subject Public Key Info:
        ...
        X509v3 extensions:
            ...
            X509v3 Basic Constraints:
                CA:TRUE
    ...

可以看到intermca证书已经是被rootca证书签过了。

第三步,生成叶子证书

3.1 生成csr和key文件

$ openssl req -newkey rsa:2048 \
    -outform PEM -out tls-cert.csr \
    -keyform PEM -keyout tls-cert.key.pem \
    -nodes \
    -reqexts SAN \
    -extensions v3_req \
    -config <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:server.mycomp.com, DNS:localhost, DNS:127.0.0.1")) \
    -subj "/C=cn/O=mycomp/OU=mygroup/CN=server"

这一步的结果是生成tls-cert.csr和tls-cert.key.pem

3.2 用intermca对cert进行签发

$ openssl x509 -req -days 365 \
    -in tls-cert.csr \
    -out tls-cert.pem \
    -CA   tls-intermca.pem \
    -CAkey tls-intermca.key.pem \
    -CAcreateserial \
    -extensions SAN \
    -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:server.mycomp.com, DNS:localhost, DNS:127.0.0.1"))

这一步的结果是生成tls-intermca.srl和tls-cert.pem,其中tls-intermca.srl是intermca签发的serial文件,也先不用管它;我们关注生成的cert证书文件tls-cert.pem.

$ openssl x509 -text -noout -in tls-cert.pem
    ...
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=cn, O=mycomp, OU=mygroup, CN=intermca
        Validity
            Not Before: Aug  5 16:48:40 2021 GMT
            Not After : Aug  5 16:48:40 2022 GMT
        Subject: C=cn, O=mycomp, OU=mygroup, CN=server
        Subject Public Key Info:
        ...
        X509v3 extensions:
            X509v3 Subject Alternative Name:
                DNS:server.mycomp.com, DNS:localhost, DNS:127.0.0.1
      ...

这里可以看到tls-cert.pem证书已经是被intermca证书签过了。

第四步,来验证证书链

验证intermca:

$ openssl verify -verbose -CAfile tls-rootca.pem tls-intermca.pem
tls-intermca.pem: OK

验证叶子证书:

$ openssl verify -verbose -CAfile tls-intermca.pem tls-cert.pem
tls-cert.pem: C = cn, O = mycomp, OU = mygroup, CN = intermca
error 2 at 1 depth lookup:unable to get issuer certificate
​
$ openssl verify -verbose -CAfile tls-rootca.pem tls-cert.pem
tls-cert.pem: C = cn, O = mycomp, OU = mygroup, CN = server
error 20 at 0 depth lookup:unable to get local issuer certificate

可见不管是rootca还是intermca都不能单独验证叶子证书,需要合起来验证:

$ openssl verify -CAfile tls-rootca.pem -untrusted tls-intermca.pem tls-cert.pem
tls-cert.pem: OK

或者:

$ openssl verify -verbose -CAfile <(cat tls-intermca.pem tls-rootca.pem) tls-cert.pem
tls-cert.pem: OK

还能这样把intermca和cert打成一个bundle,然后用rootca验证:

$ cat tls-intermca.pem tls-cert.pem > tls-bundle.pem
$ openssl verify -CAfile tls-rootca.pem tls-bundle.pem
tls-bundle.pem: OK

原文链接:使用openssl创建自签名的证书链 - 简书

qq_40593293
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥和证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书3 生成签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
使用OpenSSL创建签名数字证书例子
weixin_42938827的博客
03-09 430
最近做一个项目,需要用到自签名数字证书。于是就研究了一下自签名数字证书实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
如何使用OpenSSL创建签名证书
sqqqqq77的博客
09-19 522
使用OpenSSL创建签名证书
openssl常用命令
weixin_46383092的博客
06-22 281
CAcreateserial:这个选项用于指示 OpenSSL 在指定的序列号文件不存在时创建一个新的序列号文件,并将其命名为指定的 CA 证书文件的名称加上 .srl 后缀。例如,如果 CA 证书文件是 ca.crt,那么序列号文件将被命名为 ca.srl。OpenSSL 是一个功能强大的工具,支持广泛的加密操作。
OpenSSL生成签名证书
weixin_52582672的博客
11-09 1337
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建签名一个证书,而没有创建CA。自签名证书是指由用户自己生成签名证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
使用 OpenSSL 创建ssl自签名证书
weixin_50218044的博客
03-30 8684
最近工作中需要创建私有化的ssl签名证书,以前使用的都是申请的免费的,没有了解过这方面的信息,经过查阅各种资料,加上数次测试,终于搞定了,一起来看看吧 什么是签名证书签名证书是未经公共或私有证书颁发机构签名的 SSL/TSL 证书。相反,它由创建者自己的个人或根 CA 证书签名。 这里借用一下大哥uncle的巨作,一篇文章了解数字证书 为了一个HTTPS,浏览器操碎了心 申请付费ssl证书流程 使用私钥创建证书签名请求 (CSR) 。CSR 包含有关位置、组织和 FQDN(完全限..
使用openssl创建签名证书(https)
lyy176的专栏
07-05 3256
环境:Window7 64位 第一步:下载和安装openssl Window的openssl的安装包的下载地址为:http://slproweb.com/products/Win32OpenSSL.html 我使用的exe格式,直接点击下一步安装即可。 第二步:配置path环境变量 主要是为了解决命令窗口在输入openssl命令时提示 “openssl不是内部或者外部命令....”...
使用OpenSSL创建签名数字证书例子2
weixin_42938827的博客
03-20 359
最近做一个项目,需要用到自签名数字证书。于是就研究了一下自签名数字证书实现,把相关的OpenSSL命令放在下面供大家查询。这篇文章中证书采用的是ECDSA算法,如果要使用其它算法,如RSA算法,只需要将-newkey后面的参数ec:
如何使用OpenSSL创建签名证书
p15097962069的博客
01-08 3212
我正在向嵌入式Linux设备添加HTTPS支持。 我尝试通过以下步骤生成签名证书openssl req -new > cert.csr openssl rsa -in privke
使用OpenSSL创建多级CA证书签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8110
文章目录1. 生成根CA证书并自签2. 生成二级CA证书使用CA证书签发3. 生成服务器证书使用二级CA证书签发4. 制作CA证书5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书使用CA证书签发 生成服务器证书使用二级CA证书签发 制作CA证书 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
openssl命令操作证书实例
09-06
4. **验证证书**:最后,我们使用`openssl verify`命令验证整个证书的合法性,确保每个证书都被其上一级签名,并且的顶端是信任的根CA。 现在,让我们详细解析这些步骤: 1. **创建根CA证书**: ``` ...
利用openssl自制CA证书
09-13
本教程将深入探讨如何利用开源工具openssl创建自定义的证书颁发机构(CA),并实现将CA证书安装到浏览器的受信任根证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL是一个强大的安全...
OpenSSL 一键生成证书
08-10
OpenSSL中,可以使用`openssl req`命令生成一个新的CA私钥和自签名证书。这个一键生成工具可以帮助开发者快速创建自己的CA,这对于在内部网络环境中构建信任或进行测试非常有用。 2. **Server证书**:服务器...
CA.zip_certificates_openssl 证书_数字证书
09-24
2. 申请自签名证书使用`keytool -selfcert`命令为该密钥对创建签名证书。 3. 导出证书:如果需要与他人共享证书,可以使用`keytool -export`命令将其导出为X.509格式。 而OpenSSL是一个强大的安全套接层密码学...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
2. 创建根CA证书使用`openssl req`命令,根据`root-ca.cnf`配置文件生成证书签名请求(CSR),然后自签发此请求以创建根CA证书。 3. 生成中间CA私钥和CSR:类似地,为中间CA生成私钥和CSR。 4. 由根CA签发中间CA...
【Oracle EBS R12】第二章 P2P &O2C cycle(中文版)
Hellen_201903的博客
08-02 151
Oracle EBS R12P2P cycleO2C cycleP2P &O2C cycle P2P cycle O2C cycle P2P &O2C cycle
Flink学习之Flink SQL
最新发布
m0_58050808的博客
08-04 763
启动yarn-session启动Flink SQL客户端测试重启SQL客户端之后,需要重新建表。
Flink实时数仓(六)【DWD 层搭建(四)交易域、互动域、用户域实现】
梦想是动物管理员
08-04 804
Flink 实时数仓 DWD 层搭建,交易域、工具域、用户域事务事实表实现
openssl如何布置ssl证书
06-07
OpenSSL 是一个开源的加密工具库,它可以用来创建和管理 SSL/TLS 协议所需要的证书和密钥等。下面是 OpenSSL 布置 SSL 证书的步骤: 1.生成私钥:使用 OpenSSL 命令生成私钥,例如: ``` openssl genrsa -out mykey.pem 2048 ``` 2.生成证书签名请求(CSR):使用 OpenSSL 命令生成证书签名请求,例如: ``` openssl req -new -key mykey.pem -out myreq.csr ``` 3.向证书颁发机构(CA)提交 CSR:将生成证书签名请求提交给证书颁发机构,CA 会对其进行审核,并签发证书。 4.获取签发的证书:CA 审核通过后,会将签发的证书以文件的形式发送给你。 5.安装证书:将签发的证书和私钥文件一起安装到你的服务器上。具体安装方法可以参考你所使用的服务器软件的官方文档。 注意:在实际操作中,还有一些其他的细节需要注意,例如证书证书格式等。如果你没有经验,建议先学习相关知识或者咨询专业人士。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值