OpenSSL多级证书的实践

最新推荐文章于 2023-10-13 17:12:51 发布
最新推荐文章于 2023-10-13 17:12:51 发布
阅读量1.9k 收藏 4
点赞数
文章标签: TLS OpenSSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41867263/article/details/86709319
版权

简介

证书颁发机构(CA)是签署数字证书的实体。网站需要让客户知道连接的安全的,他们需要向国际信任的CA支付签署其域名证书的费用。

创建根证书

CA处理加密的私钥和公共证书。一般CA不直接签署服务器或者客户端的证书。根CA仅用于创建一个或者多个中间CA,根CA信任中间CA,由中间CA代表其签署证书。这样保证跟密钥的脱机和未使用,因为根密钥的任何损害都是灾难性的。
创建根证书的步骤如下所示

  1. 准备目录

     mkdir /root/ca
 cd /root/ca
 mkdir certs crl newcerts private
 chmod 700 private
 touch index.txt
 echo 1000 > serial

  2. 准备配置文件 /root/ca/openssl.cnf

  3. 创建根key

     cd /root/ca
 ## 其中-aes256的方式进行加密,可以省略不添加密码
 openssl genrsa -aes256 -out private/ca.key.pem 4096
 chmod 400 private/ca.key.pem

  4. 创建根证书

     # 使用req的命令必须使用-config指定openssl.cnf,如果没有指定会使用默认路径
 # 根证书一般的有效期设置的比较长,根证书失效后所有其签署的证书都不能正常工作
 cd /root/ca
 openssl req -config openssl.cnf \
     -key private/ca.key.pem \
     -new -x509 -days 7300 -sha256 -extensions v3_ca \
     -out certs/ca.cert.pem
 chmod 444 certs/ca.cert.pem

  5. 核实根证书

     openssl x509 -noout -text -in certs/ca.cert.pem
 # Signature Algorithm 签名算法
 # dates证书的有效期
 # Public-Key的bit长度
 # Issuer证书的签署机构
 # Subject证书的持有机构
 # 根证书都是签署机构和证书持有者相同的,自签名的

创建中间证书

中间证书是根证书签署的证书,根证书信任中间证书,进而形成信任链。使用中间证书主要是为了安全,
尽量保证根证书是离线的,尽可能少的使用。如果中间证书不在安全,可以通过根证书进行撤销中间证书,重新签署一个新的中间证书。

  1. 准备目录,基本和根证书的相同

     mkdir /root/ca/intermediate
 cd /root/ca/intermediate
 mkdir certs crl csr newcerts private
 chmod 700 private
 touch index.txt
 echo 1000 > serial
 # crlnumber用来跟踪证书撤销
 echo 1000 > /root/ca/intermediate/crlnumber

  2. 拷贝配置文件到中间证书目录下/root/ca/intermediate/openssl.cnf

     # 和根证书的配置不同点如下所示
 [ CA_default ]
 dir             = /root/ca/intermediate
 private_key     = $dir/private/intermediate.key.pem
 certificate     = $dir/certs/intermediate.cert.pem
 crl             = $dir/crl/intermediate.crl.pem
 policy          = policy_loose

  3. 创建中间key

     cd /root/ca
 openssl genrsa -aes256 \
     -out intermediate/private/intermediate.key.pem 4096
 chmod 400 intermediate/private/intermediate.key.pem

  4. 创建中间证书签名请求

     cd /root/ca
 openssl req -config intermediate/openssl.cnf -new -sha256 \
     -key intermediate/private/intermediate.key.pem \
     -out intermediate/csr/intermediate.csr.pem

  5. 根证书给中间证书进行签名,该证书一般签发的有效期要比根证书的有效期要短,一般是10年

     cd /root/ca
 openssl ca -config openssl.cnf -extensions v3_intermediate_ca \
     -days 3650 -notext -md sha256 \
     -in intermediate/csr/intermediate.csr.pem \
     -out intermediate/certs/intermediate.cert.pem
 chmod 444 intermediate/certs/intermediate.cert.pem
 # index.txt是Openssl的CA命令存储签名的数据库,不允许手动删除或者修改。

  6. 核实中间证书

     openssl verify -CAfile certs/ca.cert.pem \
   intermediate/certs/intermediate.cert.pem

  7. 创建证书链文件

     cat intermediate/certs/intermediate.cert.pem \
     certs/ca.cert.pem > intermediate/certs/ca-chain.cert.pem
 chmod 444 intermediate/certs/ca-chain.cert.pem

创建服务端和客户端的签名

通过中间证书来签署服务端和客户端的证书。

  1. 创建服务端的key

     cd /root/ca
 openssl genrsa -aes256 \
   -out intermediate/private/www.example.com.key.pem 2048
 chmod 400 intermediate/private/www.example.com.key.pem

  2. 创建签名请求

     cd /root/ca
 openssl req -config intermediate/openssl.cnf \
   -key intermediate/private/www.example.com.key.pem \
   -new -sha256 -out intermediate/csr/www.example.com.csr.pem

  3. 中间CA进行签名

     # cd /root/ca
 openssl ca -config intermediate/openssl.cnf \
       -extensions server_cert -days 375 -notext -md sha256 \
       -in intermediate/csr/www.example.com.csr.pem \
       -out intermediate/certs/www.example.com.cert.pem
 chmod 444 intermediate/certs/www.example.com.cert.pem

  4. 核实签名

     openssl x509 -noout -text \
   -in intermediate/certs/www.example.com.cert.pem
   
 # 使用之前的CA链检验证书是否合法
 openssl verify -CAfile intermediate/certs/ca-chain.cert.pem \
   intermediate/certs/www.example.com.cert.pem

常见的命令

  1. 查看版本号详情

     openssl version -a

  2. 查看默认的配置路径

     openssl version -d

  3. 帮助命令,帮助本身是不合法的命令

     openssl help # openssl:Error: 'help' is an invalid command 命令会出错,但是依然能够看到有哪些命令,后面可以通过man s_client的形式来查看详情

  4. openssl通过client进行模拟tls连接

     openssl s_client -showcerts -connect localhost:8883 -CAfile ca-chain.pem

  5. 建立Tls的Service

     openssl s_server -accept 8443 -cert cert.pem -key key.pem -CAfile certs/ca-chain.cert.pem

  6. 同时查看多个证书详情的话

     openssl crl2pkcs7 -nocrl -certfile CHAINED.pem | openssl pkcs7 -print_certs -text -noout

参考资料

certum CA根CA
CA相关介绍

qq_41867263
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
浅谈基于openssl多级证书,Multi-level CA的签发和管理,以及双向认证
m0_38084180的博客
04-21 4110
最近在研究openssl签发证书,在网上搜索关于openssl的用法、资料等等,总觉得非常分散,而且讲得比较浅,文章虽然不少,但是缺少真正能给你讲的明白得,仅停留在“能用”上,感慨一下,这怎么行,到底是大家也不明白还是秘而不宣呢? 前期建议简单了解下: tls的概念、单向认证和双向认证过程和区别、数字证书、CA机构的角色、openssl 1、你是否需要多层证书? 这里面有两个核心的问题: a、你是否需要双向认证? 我见过的商业案例,客户公网访问某个服务,直接自己签发一个证书,放在服务端,客户ht
使用Openssl进行PKI实践(含多级证书详细步骤)
weixin_33849215的博客
04-02 752
2019独角兽企业重金招聘Python工程师标准>>> ...
openssl 生成多级X.509 v3 ECC公钥证书链完整示例
Reflection_in_water的博客
02-28 1668
操作步骤: 1. 生成ECC根密钥对,自签名生成证书。命令中的openssl.cnf 用于证书版本及证书扩展,文件具体内容请参考文末的链接3。 # 生成根CA公钥 openssl ecparam -out EccRootCA.key -name prime256v1 -genkey # 生成证书CSR请求 openssl req \ -subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=root.test
openssl生成证书多级证书
weixin_44740398的博客
11-03 241
openssl生成证书多级证书 https://www.cnblogs.com/gsls200808/p/4502044.html
多级证书验签
冰冻三尺非一日之寒
05-16 1190
多级证书验签#!/bin/sh if [[ "$1" = "" || "$2" = "" ]]; then echo "certSignVerify.sh CAfiles(自签证书多级证书) certfile " exit 0; fi #除了最后一个参数,其他参数为CA级证书 touch tmpca.cer count=$# tmp=1 for i...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
OpenSSL 一键生成证书
08-10
"OpenSSL 一键生成证书"项目是针对OpenSSL进行的二次开发,旨在简化证书创建过程。通常,生成SSL/TLS证书需要一系列复杂的命令行操作,包括生成私钥、创建证书签名请求(CSR)、签署证书等步骤。这个项目通过批处理...
java生成证书 包括openssl
12-05
Java 生成证书包括 OpenSSL Java 生成证书是指通过 Java 的 keytool 工具和 OpenSSL生成数字证书的过程。在 HTTPS 环境下,证书是必不可少的组件, play a crucial role in ensuring the security and ...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了...在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践
openssl生成多级CAdemo
05-14
在这个“openssl生成多级CAdemo”中,我们将探讨如何使用OpenSSL来构建一个多层次的证书权威机构(CA)结构,以及签发服务器证书的过程。 首先,让我们了解什么是CA。证书权威机构是信任的第三方机构,它们负责...
windows下使用openssl创建多级证书
shuizhongmose的专栏
04-10 1065
参考:https://jamielinux.com/docs/openssl-certificate-authority/introduction.html 这篇文章很有参考价值 可以使用下面的bat文件conf进行批量生成。下载地址: 链接: https://pan.baidu.com/s/1Vj2MTNTlg0iw5SKjrMZ8GQ 提取码: 4...
自签名多级证书亲测可用
sxdtzhp的专栏
03-28 6597
rem 不能使用jdk1.7 set JAVA_HOME=E:\tools\java\jdk1.8.0_181x64 set PATH=%JAVA_HOME%\bin;%PATH% cd E:\编程技术\pki\测试自签名多级证书 E: echo 1)生成自签名根证书testroot,不要重新生成证书 keytool -genkeypair -alias testroot -deststoretype pkcs12 -keyalg RSA -keysize 2048 -sigalg SHA256with.
使用OpenSSL创建多级CA证书链签发证书并导出为pkcs12/p12/pfx文件
Laurence的技术博客
03-21 8126
文章目录1. 生成根CA证书并自签2. 生成二级CA证书并使用CA证书签发3. 生成服务器证书并使用二级CA证书签发4. 制作CA证书链5. 打包为p12文件6. 注意事项7. 使用`openssl x509`和`openssl ca`签发CA证书的差别 操作步骤: 生成根CA证书并自签 生成二级CA证书并使用CA证书签发 生成服务器证书并使用二级CA证书签发 制作CA证书链 打包为p12文件 1. 生成根CA证书并自签 # 创建root-ca并自签名 openssl req -x509 -newkey
python几多级证书_Openssl 生成多级证书
weixin_30596433的博客
12-24 404
一、说明使用自签ca证书,给二级ca签发生成证书默认不具备给三级证书签发的能力。需要指定 -extensions v3_ca参数。详细参考:http://blog.csdn.net/howeverpf/article/details/21622545?reload二 相关命令// 生成顶级CA的公钥证书和私钥文件,有效期10年(RSA 1024bits,默认)openssl req -new -...
Nginx:创建CSR并安装SSL证书OpenSSL
yeshen.org
07-06 6620
原文来自 https://www.digicert.com/csr-ssl-installation/nginx-openssl.htm 使用OpenSSL创建CSR并在Nginx服务器上安装SSL证书 使用此页面上的说明使用OpenSSL创建证书签名请求(CSR),然后在Nginx服务器上安装SSL证书。 重新启动注意:安装SSL / TLS证书并配置服务器以使用它后,必须重...
【实用工具系列】(7)使用OpenSSL创建证书
最新发布
砥砺前行
10-13 940
最近在做PDF签名相关的功能,其中需要使用证书来签名。于是参考OpenSSL和其他网络文章,作成了一些方便的脚本文件来创建CA证书和终端证书
OpenSSL 给自己颁发根证书,由根证书签发下级证书的步骤。
xu_0705的专栏
06-25 7343
1.简历根证书 (1) 生成私钥
openssl生成证书多级证书证书吊销列表(CRL)
热门推荐
Joe's Blog
12-01 2万+
openssl生成证书多级证书
OPENSSL多级证书
chengji2928的博客
12-09 1038
1.CA子签名证书 openssl genrsa -out ca.key 2048 openssl req -x509 -new -nodes -key ca.key -subj "/CN=chain.test.com/OU=department/O=CorpName/L=beijing...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值