自建SSL证书(兼容ios)

已于 2024-03-22 18:10:12 修改
阅读量1k 收藏 15
点赞数 25
分类专栏: ssl 文章标签: ssl ios 网络协议
于 2024-03-22 17:37:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43278717/article/details/136947122
版权

简介

对于SSL/TLS服务器证书,特别是那些用于HTTPS网站的证书,有几个关键的扩展和属性是必要的,以确保证书可以被客户端(如浏览器)正确识别和信任。这些细节对于确保加密连接的安全性至关重要。以下是一些关键的证书详情和扩展:

  1. 主题备用名称 (Subject Alternative Name, SAN)
    SAN字段允许证书指定多个资源名称(比如,多个域名或IP地址)。对于现代的浏览器和客户端,此字段几乎是必需的,因为它们会检查访问的域名是否包含在证书的SAN中。
  2. 密钥用途 (Key Usage, KU)
    这个扩展定义了证书的密钥可以执行的安全操作。对于服务器证书,通常需要包括“数字签名”(digitalSignature)(证明信息是由私钥持有者签名的)和“密钥加密”(keyEncipherment)(允许使用公钥加密数据,以便只有对应的私钥持有者可以解密)。
  3. 扩展密钥用途 (Extended Key Usage, EKU)
    EKU进一步细化了证书的使用场景。对于HTTPS服务器证书,这通常包括“服务器身份验证”(serverAuth)标识符,表明该证书可以用于验证服务器的身份。
  4. 基本约束 (Basic Constraints)
    对于根证书或任何中间CA证书,基本约束必须设置为CA(证书颁发机构)=TRUE,并且可选地包含一个路径长度约束,这指定了从该CA到最终叶子证书之间的中间CA数量上限。对于一个终端实体(比如服务器或客户端)的证书,CA通常应设置为FALSE。
  5. CRL分布点 (CRL Distribution Points)
    这个扩展包含了获取证书吊销列表(CRL)的URL,客户端可以使用这些URL来检查证书是否已被吊销。
  6. 证书策略 (Certificate Policies)
    证书策略定义了颁发证书的策略或用途。虽然这不是技术上强制的,但它提供了关于证书可能被接受用途的信息。
    确保这些扩展和属性正确设置是创建SSL/TLS证书的重要部分,特别是当你打算让证书被公众信任的客户端(如互联网浏览器)接受时。如果你是自己生成这些证书(比如用OpenSSL),需要确保在证书签名请求(CSR)和/或在证书生成过程中正确指定这些属性。

生成根证书

生成rsa私钥

openssl genpkey -algorithm RSA -out rootCA.key -pkeyopt rsa_keygen_bits:2048

创建根证书的配置文件
为了确保包含所有必要的扩展,最好创建一个配置文件(比如命名为rootCA.conf)来定义证书的参数和扩展:

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C = CN
ST = GuangDong
L = ShenZhen
O = Wfh
OU = Wfh Unit
CN = Wfh Root CA

[ext]
basicConstraints = critical,CA:TRUE
keyUsage = critical,keyCertSign,cRLSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer

请替换[dn部分],这个部分请认真填写,其中
C: 国家
N: 省份
L: 城市
O: 组织
OU: 组织单位
CN :可以理解为根证书的名字,用于区分根证书
这个配置文件定义了证书的DN(Distinguished Name)和一些关键的扩展,如basicConstraints、keyUsage等。
生成自签名根证书(10年有效期):

 openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem -config rootCA.conf -extensions ext

生成服务器的证书

生成服务器私钥

openssl genpkey -algorithm RSA -out server.key -pkeyopt rsa_keygen_bits:2048

创建证书签名请求(CSR)
创建一个名为server.csr.conf的配置文件,以包含CSR的详细信息

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext

[dn]
C = CN
ST = GuangDong
L = ShenZhen
O = Wfh
OU = Wfh Unit
CN = *.xxx.com

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.xxx.com

其中subjectAltName(SAN)可以指定多个域名(eg:DNS.2,DNS.3),这里我使用通配符 *,表示子域名都可以使用这个服务器证书
生成服务端证书签名请求CSR

openssl req -new -key server.key -out server.csr -config server.csr.conf

使用根证书签发服务器证书
创建一个新的配置文件(比如v3.ext)来定义签发的证书应该包含的扩展

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.xxx.com

签发证书(IOS经测试最大支持825天有效期):

openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile v3.ext

配置Nginx

将生成的私钥(server.key)和证书(server.crt)用于你的Nginx配置。编辑你的Nginx配置文件(通常位于/etc/nginx/目录下),添加或修改以下行来指定证书和私钥的位置:

server {
    listen 443 ssl;
    server_name app.xxx.com;

    ssl_certificate /path/to/your/server.crt;
    ssl_certificate_key /path/to/your/server.key;

    # 其他配置...
}

重新加载Nginx配置

sudo nginx -s reload

客户端需要导入rootCA.pem证书

查看另一篇文章:SSL浏览器导入自建证书

wfh小黑屋里的小黄花
关注
  • 25
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
https SSL 自建证书的制作
Erice_e的专栏
12-06 2万+
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书: 我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriS
制作SSL证书
qq_38191833的博客
10-01 521
准备工具 安装keytool(jdk自带)、openssl、nginx、web服务 有两种方法生成数字证书,一种是用JDK带的keytool,另一种是用openssl。 我们将利用openssl完成以下表格内容: 完成项 输出文件 CA服务器根证书 cacert.pem 证书 服务器证书 servercert.pem 证书serverkey.pem 私钥 客户端证书 cli...
HTTPS与自制SSL证书
u010148813的专栏
12-15 5097
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
自定义生成ssl证书
ss810540895的博客
03-31 985
选择自己电脑对应的版本然后下一步下一步安装完成即可。
SSL 自定义证书创建过程
最新发布
UX_LEGEND的专栏
05-16 780
证书是公钥基础设施(PKI)中的顶级证书,它用来签署其他证书,包括中间证书和最终用户证书。根证书通常由证书颁发机构(CA)生成和自签名。客户端只需要信任一次根证书。任何由根证书签署的证书,都能被客户端验证。更新后的服务端证书依然由同一个根证书签署,确保了信任链的完整性。通过这个类比,您可以更直观地理解根证书和服务端证书之间的信任关系,以及为什么客户端在根证书不变的情况下可以持续信任更新后的服务端证书
生成自签ssl证书
kali_yao的博客
10-18 9729
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 4788
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
生成SSL证书
weixin_44783506的博客
02-05 3755
SSL 是一种加密协议,用于在网络通信中提供数据的保密性和完整性。它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。根据文章操作,生成以下四个文件用于存储与 SSL 相关的密钥、证书和信任的根证书
SSL生成证书的几种方式
大太阳的博客
10-03 8542
目录 一、使用makecert命令生成 二、PowerShell 命令生成方式 确定你的打包应用的主体 使用New-SelfSignedCertificate创建证书 三、Openssl 生成方式 四、Window IIS生成证书 五、EKU (OID)扩展 六、参考 一、使用makecert命令生成 生成自签名证书。 以下命令行包含使用makecert.exe在 WinRM 主机上创建证书的示例语法。makecert.exe -r -pe -n "CN=host_name-3...
gmssl iOS静态库,支持arm64,支持bitcode
03-23
这个库的主要功能是实现国密(国家密码算法)加密、解密以及SSL通信,使得在iOS应用开发中能够安全地使用中国的加密标准。 1. **国密算法**: 国密算法主要包括SM2、SM3和SM4等。SM2是一种基于椭圆曲线密码学的...
iOS版编译完成的OpenSSL
06-22
iOS开发中,OpenSSL是一个重要的加密库,用于实现各种安全协议,如SSL/TLS以及加密算法,如RSA、DSA等。本资源提供的是针对iPhone 15.5.sdk版本编译完成的OpenSSL库,这使得开发者能够在iOS平台上集成OpenSSL的...
ios实机IJKMediaFramework支持https
04-11
iOS开发中,为了实现流媒体播放功能,开发者经常会选择使用第三方框架,IJKMediaFramework便是其中的一个热门选择。这个框架是由Bilibili开源的,主要用于视频播放,它集成了FFmpeg库,提供了对多种流媒体协议的...
ios苹果旧版app下载
04-05
iOS系统中,有时用户可能需要下载旧版的App,可能是为了兼容老旧设备,或者是因为新版本存在某些问题。在“ios苹果旧版app下载”这个主题中,涉及到的知识点主要包括以下几个方面: 1. **iOS App版本管理**:iOS ...
iOS版openssl静态库
02-19
此外,Apple在某些iOS版本中限制了SSL/TLS协议的使用,因此在集成时要确保遵守Apple的安全策略,并及时更新库以应对新的安全挑战。 总之,这个压缩包提供的iOS版OpenSSL静态库为开发者提供了一个便捷的解决方案,...
搭建一个简单的https服务
my_miuye的博客
07-11 4114
  为了测试ab工具压测https接口,简单搭了一下https,记录一下过程。   环境准备 在docker中建了3个容器: A: 证书颁发(CA) B: 服务端 C: 客户端 docker run -d --name ca centos:centos7 /bin/bash docker run --privileged=true -d --name https-server -p 8000:80 -p 8443:443 centos:centos7 /usr/sbin/i
一文教你生成SSL自认证证书
starlooksky的博客
06-02 4002
在测试环境下,用户可以用通过以下方式进行数字证书测试。在客户的运行环境中,请使用从CA认证中心申请的数字证书
Nginx/Tomcat/SpringBoot配置自生成SSL证书
拉你手跟我走的专栏
12-21 1587
Nginx/Tomcat/SpringBoot配置自生成SSL证书的两种方式
自签名免费(SSL)私有证书
haodayizhizhuzhu的博客
02-16 4991
内容导航1,生成加密自签名(SSL证书1,使用openssl工具生成一个RSA私钥2,删除密码,重命名文件,导出key内容3,生成CSR(证书签名请求)4,生成自签名crt证书1,下载证书到本地2,win + r 打开mmc进入控制台1EDN:内容参考1,背景描述:2,解决方法:EDN:内容参考。
.NET weabapi自建SSL证书
06-10
在 .NET WebAPI 中自建 SSL 证书可以通过以下步骤完成: 1. 安装 OpenSSL 工具: - 下载 OpenSSL 工具并安装; - 确认 OpenSSL 安装位置,例如:C:\OpenSSL。 2. 生成自签名证书: - 打开命令提示符,进入 OpenSSL 安装目录; - 执行以下命令生成自签名证书: ``` openssl req -newkey rsa:2048 -nodes -keyout mykey.key -x509 -days 365 -out mycert.crt ``` - 执行命令后,会要求填写一些证书相关信息,按照提示填写即可; - 生成的证书将保存在 OpenSSL 目录中。 3. 将证书导入到 Windows 证书存储中: - 双击生成的 mycert.crt 文件,选择“安装证书”; - 在“证书导入向导”中,选择“计算机帐户”; - 将证书保存到“受信任的根证书颁发机构”中; - 完成证书导入。 4. 在 Web.config 文件中配置 SSL: - 打开 Web.config 文件,在 `<system.webServer>` 标签下添加如下代码: ```xml <bindings> <binding protocol="https" bindingInformation="*:44300:localhost" /> </bindings> <sslFlags>Ssl, SslNegotiateCert</sslFlags> <certificateHash>YOUR_CERTIFICATE_THUMBPRINT</certificateHash> <certificateStoreName>My</certificateStoreName> ``` - 其中,`certificateHash` 参数需要填写证书的指纹(Thumbprint),可以在证书管理器中查找; - `certificateStoreName` 参数需要填写证书存储的名称,这里使用“我的”(My)。 5. 重新启动 WebAPI 以使配置生效。 完成以上步骤后,WebAPI 就可以使用自签名 SSL 证书进行加密传输了。注意,自签名证书不被浏览器默认信任,因此在生产环境中建议使用从证书颁发机构购买的证书
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值