创建HTTPS访问SSL免费证书

最新推荐文章于 2024-08-16 15:41:41 发布
最新推荐文章于 2024-08-16 15:41:41 发布
阅读量496 收藏
点赞数
文章标签: https openssl ssl
原文链接:https://www.jianshu.com/p/0e9ee7ed6c1d
版权

创建SSL访问证书

参考: openssl生成自签名证书(完整版)

openssl下载地址: https://www.openssl.org/source/old/1.1.1/

centos上一般都自带安装了OpenSSL

查看 openssl版本:

方式一:
[root@VM-0-8-centos /]# openssl version -a
OpenSSL 1.1.1f  31 Mar 2020
built on: Tue Aug 25 08:34:29 2020 UTC
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(int) idea(int) blowfish(ptr) 
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -O3 -DOPENSSL_USE_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DZLIB -DNDEBUG
OPENSSLDIR: "/usr/local/openssl/ssl"
ENGINESDIR: "/usr/local/openssl/lib/engines-1.1"
Seeding source: os-specific

方式二:
[root@VM-0-8-centos /]# openssl
OpenSSL> version
OpenSSL 1.1.1f  31 Mar 2020
OpenSSL>
基本概念
  • CA:认证机构。有自己的证书,可以拿自己的证书给别人签名然后收钱,这个星球上的CA被几家说英语的人垄断了。在这里我们会虚拟出一个CA机构,然后用他来给自己的证书认证签名。
  • (网站)证书 :发送给客户端的证书,其中大部分是公钥。是一个包含自己网站的公钥、认证、签名等信息的文件。
  • (网站)私钥 :服务器留存的解密私钥(server)

注意区分 CA机构的证书(可以拿来给其他网站证书签名)和 自己网站的证书(不可以),不一样

基本流程
  1. 搞一个虚拟的CA机构,生成一个证书
  2. 生成一个自己的密钥,然后填写证书认证申请,拿给上面的CA机构去签名
  3. 于是就得到了自(自建CA机构认证的)签名证书

首先,虚构一个CA认证机构出来

# 生成CA认证机构的证书密钥key
# 需要设置密码,输入两次
openssl> genrsa -des3 -out ca.key 1024

# 去除密钥里的密码(可选)
# 这里需要再输入一次原来设的密码
openssl> rsa -in ca.key -out ca.key

# 用私钥ca.key生成CA认证机构的证书ca.crt
# 其实就是相当于用私钥生成公钥,再把公钥包装成证书
openssl> req -new -x509 -key ca.key -out ca.crt -days 365
# 这个证书ca.crt有的又称为"根证书",因为可以用来认证其他证书

其次,才是生成网站的证书

用上面那个虚构出来的CA机构来认证,不收钱!

# 生成自己网站的密钥server.key
openssl> genrsa -des3 -out server.key 1024

# 生成自己网站证书的请求文件
# 如果找外面的CA机构认证,也是发个请求文件给他们
# 这个私钥就包含在请求文件中了,认证机构要用它来生成网站的公钥,然后包装成一个证书
openssl> req -new -key server.key -out server.csr

# 使用虚拟的CA认证机构的证书ca.crt,来对自己网站的证书请求文件server.csr进行处理,生成签名后的证书server.crt
# 注意设置序列号和有效期(一般都设1年)
openssl> x509 -req -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt -days 365

至此,私钥server.key和证书server.crt已全部生成完毕,可以放到网站源代码中去用了。

以下是闲话:

后缀名与文件内容

其实后缀名不影响文件的实质内容的,内容都可以文本打开看,囧

  • 例如生成的ca.key文件,输入两次密码,然后再查看其内容:
OpenSSL> genrsa -des3 -out ca.key 1024
Generating RSA private key, 1024 bit long modulus (2 primes)
....+++++
...........................................................................+++++
e is 65537 (0x010001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
OpenSSL> exit
ubuntu:~/web/ssl$ ls
ca.key
ubuntu:~/web/ssl$ cat ca.key
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,6D519E92415BEE33

UcZyq1NkoodzdWBHq37G2+y+Q/QigaPmXdNjZA7rBbz17VVqB1JrU11tbFo5BDZV
...
-----END RSA PRIVATE KEY-----
ubuntu:~/web/ssl$
  • 再如生成ca.crt证书文件:
OpenSSL> req -new -x509 -key ca.key -out ca.crt -days 365
Can't load /home/xqq/.rnd into RNG
139920876560832:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/xqq/.rnd
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:spn
Locality Name (eg, city) []:ln
Organization Name (eg, company) [Internet Widgits Pty Ltd]:on
Organizational Unit Name (eg, section) []:oun
Common Name (e.g. server FQDN or YOUR name) []:cn
Email Address []:ea
OpenSSL> exit

ubuntu:~/web/ssl$ ls
ca.key ca.crt ca.lol  # ca.lol是我自己乱起的扩展名

# ca.lol
ubuntu:~/web/ssl$ cat ca.lol
-----BEGIN CERTIFICATE-----
MIICqjCCAhOgAwIBAgIUAOsXW5KDRNvBDTLaIreadCJVnn4wDQYJKoZIhvcNAQEL
...
-----END CERTIFICATE-----

# ca.key
xqq@VM-0-4-ubuntu:~/web/ssl$ cat ca.key
-----BEGIN RSA PRIVATE KEY-----
MIICXgIBAAKBgQCxImyGkSj2rB7zSNSM/2h4dg5tpJNGwJDQLE/PNKQtkorMgrbI
...
-----END RSA PRIVATE KEY-----
xqq@VM-0-4-ubuntu:~/web/ssl$

看嘛,扩展名并不影响密钥文件的内容

常用后缀名

格式说明
.crt .cer证书(Certificate)
.key密钥/私钥(Private Key)
.csr证书认证签名请求(Certificate signing request)
*.pembase64编码文本储存格式,可以单独放证书或密钥,也可以同时放两个;base64编码就是两条-------之间的那些莫名其妙的字符
*.der证书的二进制储存格式(不常用)

作者:奇奇乌布里
链接:https://www.jianshu.com/p/0e9ee7ed6c1d
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

IT小浣熊
关注
专栏目录
https证书制作
w2865673691的专栏
09-21 3273
C:\Program Files\Java\jdk1.7.0_75\bin> keytool -v -genkey -alias tomcat -keyalg RSA -keystore f:/zhengshu/wpzhengshu.keystore  -validity 36500 输入密钥库口令: 再次输入新口令: 您的名字与姓氏是什么?   [Unknown]:  192.
Let’s Encrypt免费SSL证书获取以及自动续签
08-03
### Let’s Encrypt 免费 SSL 证书获取及自动续签详解 #### 一、前言 随着互联网安全意识的提高,HTTPS 协议已经成为网站标配。对于个人开发者和小型项目而言,免费且易于管理的 SSL 证书尤为重要。Let’s Encrypt ...
免费生成ssl证书
数据轨迹的专栏
01-16 1555
https://csr.chinassl.net/free-ssl.html
openssl生成自签ssl证书
最新发布
eagle89的专栏
08-16 1547
openssl生成自签ssl证书
怎么简单的生成SSL证书
热门推荐
蔚可云的博客
11-25 1万+
下面小编给大家说一下SSL证书生成的方法: 第1步:生成私钥 我们一般运用openSSL这个工具来生成一个RSA私钥 说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。 注意:一般生成私钥,需要至少一个 4位的密码。 第2步: CSR生成私钥后,那么此时就可以创建csr文件了。 此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(ssl证书申请​​),CA验证过请求者的身份之后,会出具签名证书(很贵)。 说明:需要依次输入国家,地区,城市.
如何免费创建ssl证书
weixin_26720549的博客
09-02 808
Making an SSL certificate for your website is not that hard and anyone can do this as long as you follow the steps in this article. I’ve had to face this problem building my websites and after a lot o...
生成SSL证书
weixin_44783506的博客
02-05 4563
SSL 是一种加密协议,用于在网络通信中提供数据的保密性和完整性。它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。根据文章操作,生成以下四个文件用于存储与 SSL 相关的密钥、证书和信任的根证书
Nginx配置SSL自签名证书的方法
09-30
首先,我们需要生成自签名SSL证书。这通常包括以下步骤: 1. **生成RSA密钥**:使用`openssl genrsa`命令创建一个带有密码保护的RSA私钥。例如,`openssl genrsa -des3 -out domain.key 1024`将生成一个1024位的...
详解如何给Tomcat配置Https/ssl证书
09-30
要为Tomcat配置SSL证书,我们需要先创建一个自签名的证书。这可以通过Java自带的keytool工具实现: 1. 打开命令行,输入以下命令来生成一个名为“localhost-rsa.jks”的Keystore文件,其中“tomcat”是别名,RSA是...
nginx配置httpsssl 私钥证书
01-08
你可以从权威的证书颁发机构(CA,如Let's Encrypt、GlobalSign等)申请免费或付费的SSL证书。或者,为了测试目的,可以自签发一个证书。自签发证书需要生成一对密钥,包括公钥(通常为.crt文件)和私钥(通常是....
免费openssl 生成ssl证书[ssl证书生成]
08-03
NULL 博文链接:https://nassir.iteye.com/blog/1983613
免费CA证书系统
10-25
一个免费的开源的CA 证书签发系统,仅供参考和学习使用
HTTPS证书创建
qq_43268957的博客
06-27 1841
https数字证书申请与自签名证书部署
Openssl创建SSL证书
AlexYoung28的博客
08-27 726
SSL证书作用 指纹:hash(指纹算法)过后的证书信息,用来保证证书信息完整性,防止黑客篡改。hash是单向的,只能通过内容生成hash值,不能反推 签名:通过非对称加密算法和其私钥(CA私钥)对指纹加密,形成签名。 浏览器验证证书:通过公钥(这个公钥并不是证书中的公钥,证书中的公钥是服务器提供的公钥,这里的是CA的公钥)解密签名,然后用同样的的指纹算法hash证书信息,最后验证是否和指纹相同...
生成可信任的SSL证书
雪急飞绪博客
03-19 2311
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
创建https需要的证书
sssjszz
03-09 1177
首先自己创建一个CA,用于认证自己的服务器,而不需要去权威机构申请。 1.创建CA的私钥  执行以下命令openssl genrsa -des3 -out ../demo/ca/ca.key 1024 demo是我的工作目录,接下来会提示输入密码,该密码是使用密钥是需要输入验证的。 2.创建CA证书  openssl req -new -x509 -key ../demo/ca/ca
如何免费申请SSL证书
2301_78420308的博客
08-07 663
我们可以成功地将自己购买的域名,绑定到连接本地群晖NAS的数据隧道上,使我们能在cpolar的帮助下,在公共互联网使用特定域名访问到位于内网的群晖NAS。不过,由于使用的是http协议,让这样的访问连接很可能被黑客盯上。为了避免这种情况,我们需要将http协议升级为https协议。而升级https协议也并不复杂,从流程上看主要分为域名平台部分和cpolar客户端部分。现在,先让我们来看看如何处理域名平台部分的设置吧。
自制证书(STL)-创建https证书
qq_20967969的博客
09-23 5611
先上一张图,这张图就是用openssl生成证书的整个流程了,如何看这个图呢?[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Zni606kq-1663939003658)(/media/202208/2022-08-26_094445_343002.png)]这个图有A、B、C三个部分,分别用三种颜色框选了一下,A部分是CA机构根证书的生成过程,这个过程需要先生成CA机构的私钥,再由CA机构的私钥生成CA机构证书申请文件,然后再由这两个文件生成根证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值