创建自签名ca证书,server.crt

已于 2022-02-21 18:39:52 修改
阅读量1.4k 收藏 1
点赞数
分类专栏: linux 文章标签: nginx https ssl
于 2022-02-21 18:28:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shelutai/article/details/123052866
版权

生成CA 根证书

** 准备配置文件**

vi ca.conf

内容:

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Ted CA Test

生成ca秘钥,得到ca.key

openssl genrsa -out ca.key 4096

生成证书签发请求,得到ca.csr

openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf

配置文件已经有默认了,直接回车即可

生成根证书 ca.crt

openssl x509 \
    -req \
    -days 3650 \
    -in ca.csr \
    -signkey ca.key \
    -out ca.crt

生成服务器证书

准备配置文件

vim server.conf

文件内容:

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = www.abc.com

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = www.abc.com
DNS.2   = www2.abc.com

这里的commonName 要填写你要放置站点的域名。

生成秘钥server.key


openssl genrsa -out server.key 2048

生证书签发请求:

openssl req \
  -new \
  -sha256 \
  -out server.csr \
  -key server.key \
  -config server.conf

配置文件已经有了,直接回车,使用默认值即可。

生成服务器证书:

openssl x509 \
  -req \
  -days 3650 \
  -CA ca.crt \
  -CAkey ca.key \
  -CAcreateserial \
  -in server.csr \
  -out server.crt \
  -extensions req_ext \
  -extfile server.conf

应用于nginx

创建nginx 配置文件:

mkdir -p nginx
leon@leon:~/work/CA$ cat nginx/ssl.conf 
server {
        listen       443 ssl;
        server_name  www.abc.com;
        root   /usr/share/nginx/html;

        ssl_certificate      /etc/certs/server.crt;
        ssl_certificate_key  /etc/certs/server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            index  index.html index.htm;
        }
        
    }

把生成好的证书放置到certs文件夹

mkdir certs
cp ca.crt server.crt server.key certs/

运行nginx 镜像。

docker run -d -p 80:80 -p 443:443 -v /home/leon/work/CA/certs:/etc/certs -v /home/leon/work/CA/nginx/ssl.conf:/etc/nginx/conf.d/ssl.conf  nginx

证书导入firefox:
火狐浏览器–选项–隐私与安全–证书–查看证书–证书颁发机构–导入

把CA根证书ca.crt导入进来,选中该证书,编辑信任,勾选“此证书可以标识网站”

浏览器打开:
https://www.abc.com
可以修改Hosts到本机。

可以看到证书安全连接了。

一键远控手机电脑
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ca-bundle.crt
01-15
自用的ca-bundle.crt证书 SSL certificate problem: unable to get local issuer certificate
linux 运行ca.crt,linux下使用openssl生成 csr crt CA证书,opensslcsr
weixin_32775495的博客
05-09 462
linux下使用openssl生成 csr crt CA证书,opensslcsr本文主要借鉴和引用了下面2个地址的内容,然后在自己的机器上进行了测试和执行,并做了如下记录。ref:http://blog.chinaunix.net/uid-26760055-id-3128132.htmlhttp://www.111cn.net/sys/linux/61591.htm创建测试目录mkdir /tm...
OpenSSL生成CA证书及终端用户证书
05-16 626
OpenSSL生成CA证书及终端用户证书 环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf 内容如下 按 Ctrl+C 复制代码 按 Ctrl+C 复制代...
linux 运行ca.crt,linux下生成httpscrt和key证书
weixin_36354965的博客
05-09 2435
今天在配置kibana权限设置时,kibana要求使用https链接。于是总结了一下linux下openssl生成 签名的步骤:x509证书一般会用到三类文,key,csr,crtKey 是私用密钥openssl格,通常是rsa算法。Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。crtCA认证后的证书文,(windows下面的,其实是...
linux系统openssl证书生成,ca, server和client
u012603457的博客
07-25 2565
引用文章 https://blog.csdn.net/liuchunming033/article/details/48470575, 原文有详细介绍,本文只列出操作步骤和相应补充 1、生成自签名CA证书 $openssl genrsa -out ca.key 2048 $openssl req -new -key ca.key -out ca.csr $openssl x509 -req -...
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
热门推荐
曹立禄的个人博客
03-30 1万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
Netty+OpenSSL TCP双向认证证书配置
Brethless_breath的博客
11-04 2504
百度加自研终于成功配置了netty+TLS双向认证,做个笔记。 TCP双向认证证书配置 1.linux下OpenSSL安装 1.1 openSSL下载 OpenSSL*下载地址:https://oomake.com/download/openssl 1.2 openSSL安装 # tar -xzf openssl-1.0.2f.tar.gz # cd openssl-1.0.2f # mkdir /usr/local/openssl # ./config --prefix=/usr/local/opens
证书类型、自签CA证书https双向认证(一篇就懂系列)
MX__LL的博客
06-16 6866
证书类型、自签CA证书https双向认证(一篇就懂系列)
SSL/CA 证书及其相关证书文件(pem、crt、cer、key、csr)
RayPick的博客
08-25 5442
SSL 证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为服务器证书SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
CA证书文件的生成及结构
weixin_44617722的博客
04-13 1842
generate 主要调用generate() 方法。 首先调用 getConfig()读取本地配置或使用默认配置。 使用 renderOrgSpec() 和 generatePeerOrg()方法依次生成每个 peer 类型的组织。 使用 renderOrgSpec() 和 generateOrdererOrg()方法依次生成每个 orderer 类型的组织。 renderOrgSpec()负...
server.crt
02-17
1. 下载附件中的 rootCA.pem,打开”钥匙... 将附件中的 server.key 和 server.crt 文件下载,放入 工程 根目录下 4. 在 hosts 文件中添加映射关系: 127.0.0.1 开发域名 5. npm run debug 6. 服务启动后访问即可
ca-certificates.crt
11-16
ssl使用的服务端证书nginx配置 lua_ssl_verify_depth 2; lua_ssl_trusted_certificate /etc/ssl/certs/ca-certificates.crt; 依赖项。
ca.crt 证书
08-06
SSL certificate problem: unable to get local issuer certificate
Linux系统:CentOS 7 CA证书服务器部署
cronaldo91的博客
08-27 4701
证书请求文件:CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件,证书申请者只要把CSR文件提交给证书颁发机构后,证书颁发机构使用其根证书的私钥签名就生成了证书文件,也就是颁发给用户的证书。HTTP 明文传输,数据都是未加密的,安全性较差,HTTPSSSL+HTTP) 数据传输过程是加密的,安全性较好。功能:证书发放、证书更新、证书撤销和证书验证。
SSL的初步理解
双手成就你的梦想
11-04 516
  那么首先我们会问,什么是SSLSSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL...
记一次CA证书的申请、服务器上的部署过程
simpleGq的专栏
05-21 2339
1.简介 最近用docker在liberity服务器上部署了一个应用。由于安全方面的考虑,服务器管理员需要我们启用https连接。这就需要我们去给liberity配置ssl证书。 2.步骤 1.申请CA证书 申请CA证书需要证书请求文件,需要在Server端生成。可以在server端用openssl命令生成。 证书请求文件里面包含的是server的public key。下面的命令生成了一个glz7plpsc.pok.ibm.com.key,这个就是服务器的私钥。glz7plpsc.pok.ibm.com.
[云原生k8s] k8s的CA证书创建和使用
qq_57377057的博客
11-01 2224
目前生产部署Kubernetes集群主要有两种方式:(1)kubeadmKubeadm 是一个 K8s 部署工具,提供 kubeadm init 和 kubeadm join,用于快速部 署 Kubernetes 集群。官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/(2)二进制包从 github 下载发行版的二进制包,手动部署每个组件,组成 Kubernetes 集群。
HTTPS:免费SSL申请与key,csr,crt的生成
实际工作与学习当中的随记
01-20 3262
90天的免费SSL:Free SSL Certificates and SSL Tools - ZeroSSL 申请教程:CNode:Node.js专业中文社区 我使用的是 https://www.startcomca.com/ 中的免费SSL证书,2016年的时候免费申请可以使用3年,你当前的时间就不确定了,还有startssl这个网站经常改版,所以这篇教程没有截图,下面介绍一个步骤: 1,第一步肯定就是登录startssl.com注册一个会员了,如果你注册过直接登录即可 2,登录后找
http实现post请求时本地没问题,线上报413错误、nginx配置免费httpsnginx反向代理
最新发布
“代码农”微信公众号
04-30 1273
http实现post请求时本地没问题,线上报413错误、nginx配置免费httpsnginx反向代理
openssl verify -CAfile ca/ca.crt server/server.crt 这是什么意思?
06-11
这是一个 OpenSSL 命令,用于验证服务器端证书的有效性。具体解释如下: - `openssl`:命令行工具名。 - `verify`:用于验证证书的命令。 - `-CAfile ca/ca.crt`:指定用于验证证书链的 CA 证书文件路径。 - `server/server.crt`:待验证的服务器端证书文件路径。 该命令会检查服务器端证书签名是否由指定的 CA 签发,以及证书中的其他信息是否有效。如果验证通过,命令会输出 "OK",否则会输出相应的错误信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值