使用CA自签名证书搭建HTTPS网站

已于 2023-06-12 12:02:44 修改
阅读量1.3w 收藏 12
点赞数 1
分类专栏: 手记 文章标签: apache ca 证书
于 2017-06-27 11:42:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shion0305/article/details/73776449
版权

在自己倒腾https网站的时候用自定义的CA给自己的网站做自签名的问题一直困扰了我好久,下面是我自己测试成功的案例,网上有很多类似的问题,在这里储备一份供自己和他人参考使用。

####1. 安装linux,apache,openssl组件,在此不做赘述,我用的就是centos里自带的apache和openssl。
####2. 生成自签名的CA证书
#####(1) 生成CA私钥

[root@localhost ~]# openssl genrsa -out ca.key 2048

# 在当前目录下生成ca.key文件,这个文件是下一步生成CA证书的私钥。

#####(2) 生成CA自签名证书

#方法一:如果需要使用第三方CA签发证书
[root@localhost ~]# openssl req -new -key ca.key -out ca.req -config /etc/pki/tls/openssl.cnf
[root@localhost ~]# openssl req -x509 -key ca.key -in ca.req -out ca.crt -days 3650 -config /etc/pki/tls/openssl.cnf

#方法二:如果就服务器本机就是CA,则可以将上述两个操作合并为一个操作(如下命令),它在自签署过程中将在内存中自动创建证书请求文件,当然,既然要创建证书请求文件,就需要人为输入申请者的信息了。
[root@localhost ~]# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf 

# 在当前目录下生成ca.crt这个文件,这个就是CA证书了,其他服务器和客户端的证书都是用ca.crt这个文件签发的。

####3. 生成服务器证书
#####(1) 生成服务器端的私钥

[root@localhost ~]# openssl genrsa -out server.key 2048 

# 在当前目录下生成server.key文件,这个文件是服务器段的私钥。

#####(2) 生成服务器端的签署申请

[root@localhost ~]# openssl req -new -out server.req -key server.key -config /etc/pki/tls/openssl.cnf 

# 在当前目录下生成server证书的签署申请,后面用CA给服务器签署证书的时候需要用到这个申请文件。
# 生成签署申请的过程中需要填写一些信息,按提示要求填写即可
# 但需要说明的是Common Name必须和ssl.conf里面的ServerName一致
# 否则客户端访问的时候会提示证书信息不能认证。

#####(3) 使用CA证书给服务器端签署服务器证书
进入/etc/pki/CA目录下,在里面创建一个index.txt空文件,以及一个名为serial,内容为01的文件

[root@localhost ~]# touch /etc/pki/CA/index.txt
[root@localhost ~]# touch /etc/pki/CA/serial
[root@localhost ~]# echo "01" >> /etc/pki/CA/serial

执行签署证书命令

[root@localhost ~]# openssl ca -in server.req -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf

# 这个server.crt就是由CA签发的服务器证书。

####4. 配置ssl.conf
将我们生成的server.crt,server.key,ca.crt三个文件复制到/usr/local/apache2/conf/ssl.crt目录下
编辑ssl.conf文件,修改SSLCertificateFile,SSLCertificateKeyFile,SSLCACertificatePath,SSLCACertificateFile几个配置项如下:

SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/liveupdate_server.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.crt/server.key"
SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt"
SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca.crt"

重启apache服务

# 如果是用yum安装的apache服务
[root@localhost ~]# service httpd restart 
# 如果是用源码安装的apache服务
[root@localhost ~]# /usr/local/apache2/bin/apachectl -k restart

####5. 在PC端导入CA证书到受信任的根证书颁发机构,即可实现https访问

星又の學長
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CA实现通过https(或443端口)访问网站
h5_king的博客
06-25 6956
在Windows环境下,CA被分为企业CA和独立CA,他们之间的区别如下: ①企业CA:要求域环境,负责为域中的用户和计算机颁发证书;由于域用户在登录过程中已经进行了身份验证,因而域用户向企业CA申请证书时,证书会自动颁发,无需管理员操作。 ②独立CA:不要求域环境,即可以为企业内网中的用户,也可以为互联网上的用户颁发证书证书颁发必须要由管理员操作。 证书 目前所使用证书都是遵循由国际电信联盟...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
# 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt ``` 对于SSL单向认证,服务器需要CA证书、服务器证书和服务器私钥。服务器证书的创建流程类似,首先生成服务器私钥,然后...
如何通过ssl配置CA证书,为自己的网站配上“https”?
Haywardwang
04-09 736
每次打开网站,域名的头部都会带上一个“!”,鼠标hover后会给你展示“不安全”,我这也不带虚假信息宣传,不带啥敏感操作的咋就不明白不安全了;只是知道现在的安全策略越做越高,从http也都升级到了https,诸如小程序、公众号等一类的链接跳转时都需要配置https协议的安全域名才能被跳转;所以,来搞这个也是势在必行的~摸了很多坑,最后总结下实现思路; 1、阿里云可以申请到1年有效期的免费证书20个,平时非营运的操作是够了; 申请详情可以查看官方文档,操作简单:https://help.aliyun.com
几种获取免费SSL证书的方式
最新发布
2402_83162493的博客
04-23 1804
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。站长工具证书服务是和全球知名的CA证书服务中心或代理商共同为用户提供的SSL证书服务产品,用户可以通过站长工具,选择需要的CA中心和其证书产品,为用户提供全站Https安全解决方案,提供域名型免费版(DV)为期三个月。目前JoySSL除了提供免费的单域名证书外,多域名证书和通配符证书也是有提供的。当然网站部署SSL证书最主要的意义还是在于网络安全防范和普及https,甚至于现在的小程序在应用过程中对于SSL证书的要求的硬性的。
【实战-Linux】--搭建CA认证中心实现https取证
weixin_33816946的博客
11-05 1068
环境CA认证中心服务端:xuegod63.cn IP:192.168.1.63          客户端:xuegod64.cn IP:192.168.1.64CA认证中心简述 CA :CertificateAuthority的缩写,通常翻译成认证权威或者认证中心,主要用途是为用户发放数字证书。 功能:证书发放、证书更新、证书撤销和证书验证。作用:身份认证,数据的不可否认性 端口:443 过程: ...
建立标准CA部署安全的SSL网站
weixin_34344403的博客
09-06 99
概述: 随着网络安全的概念日益深入人心,公钥架构(PKI)在网络得到越来越广泛的应用。PKI使用证书进行身份验证,数据加密和数据签名,是目前信息安全保障的一种重要方法。 证书是PKI的基础,是实现网络安全,进行身份验证以及保证网络信息安全的一种管理手段,有关PKI与证书更多更深入的知识请参考相关KB,或参考后继文章! ...
CA证书服务搭建
m0_58153689的博客
09-05 7570
准备一:域服务搭建 步骤一:搭建CA证书服务器,设置固定IP地址(192.168.0.)与主机名(DC)打开服务器管理器-->点击添加角色和功能 步骤二:一路回车到达选择服务器角色位置,选中Active Directory域服务与Active Directory 目录服务继续下一步并进行安装 步骤三:在服务器管理器小旗中选中将此服务器提升为域控制器--在开始界面选择创建新林为laosec.cn并依次往下配置 CA证书服务搭建
【Linux云计算架构:第三阶段-Linux高级运维架构】第18章——CA认证过程及https实现方法
就叫一片白纸的博客
07-21 760
本节内容: 18.1 CA认证流程 18.1 实战:搭建CA认证中心 18.1 实战:使用证书搭建https 实验环境: CA认证中心服务端:xuegod63.cn IP:192.168.1.63 客户端:xuegod64.cn IP:192.168.1.64 本节所使用实验环境:RHEL 7 (如有使用RHEL 6,会特别注明) CA:Certificate Authority的缩写,...
搭建Docker私有仓库(自签名方式)
01-10
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。通读了一遍官方文档,Docker为了确保安全使用TLS,需要CA认证,认证时间长的要钱啊,免费过期时间太短,还是用...生成自签名证书 在服务器
CA证书颁发
03-27
数字证书中包含了网站服务器的公钥、CA签名证书序列号、证书有效期、证书使用者名称等信息。 在CA证书颁发过程中,需要经过以下几个步骤: 1. 网站服务器向CA机构申请证书网站服务器需要向CA机构申请数字证书...
Linux中Nginx添加自签证书TLS的方法
09-15
接下来,我们将配置Nginx以使用这个自签名证书。编辑Nginx配置文件,例如`/etc/nginx/nginx.conf`或者对应的站点配置文件。找到或创建一个`server`块,内容如下: ```nginx server { listen 443; server_name ...
关于HTTPS的说明、CA配置、SSL配置、Web网站配置
09-02
关于HTTPS的说明、CA配置、SSL配置、Web网站配置
Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全)
04-30
Windows_Server_2008上使用IIS搭建WEB服务器、CA数字证书应用图解(全) 本文将从三个方面详细解释Windows Server 2008上使用IIS搭建WEB服务器、CA数字证书应用的知识点: 一、数字证书的概念和作用 数字证书是一...
搭建Apache服务器并使用自签证书实现https访问
weixin_30256901的博客
05-29 192
  实验环境:两台Centos7.2的虚拟机,一台作CA服务器,一台作Apache服务器,此处安装httpd-2.4.6的版本. 1)CA服务器 # 私钥一般存放位置:/etc/pki/CA/private   [root@happiness ~]# cd /etc/pki/CA/private # 生成私钥   [root@happiness private]# (umask 07...
linux下创建CA以及颁发证书
weixin_33825683的博客
08-26 772
一、创建私有CA使用工具openssl模拟创建CAOpenssl程序包分解:Openssl由三部分组成:加密库libcrypt、服务器端实现ssl功能会话的库、命令行工具Openssl工具使用详解:#rpm -ql openssl第一个功能库:libctypto:主要用来实现加密解密,一些用来实现加密解密的程序,有可能都要调用到libcrypto库,加密解密程序库会被众多应...
Nginx配置https并自签名证书
怀素的专栏
03-14 620
曾经iOS 为安全起见要求所有请求必须https,记录项目中配置https过程。# 生成一个RSA密钥 openssl genrsa -des3 -out xgj.key 1024 # 拷贝一个不需要输入密码的密钥文件 openssl rsa -in xgj.key -out xgj_nopass.key # 生成一个证书请求 $ openssl req -new -key xgj.ke...
网站还在使用签名SSL证书?大错特错
cohozyb697999855的博客
07-09 261
  自签名SSL证书是什么?估计很多人还不了解,但也有不少人在使用。至于使用的情况如何,我猜是如人饮水冷暖自知。要想对它有个全面的了解,先从定义开始吧。      所谓自签名SSL证书,就是使用opens...
Linux服务器部署HTTPS
刘杨造梦的博客
07-03 2351
HTTPS的实现    1、http想实现为https 就需要为配置ssl,及其使用证书。这些在http里有专门的mod_ssl模块来支持。        yum -y install mod_ssl  #安装mod_ssl模块    安装该模块后,它会自动修改配置文件,增加LoadModule ssl_module modules/mod_ssl.so在httpd的子配置文件/etc/http...
项目或网站配置https访问CA证书-学习笔记
青春没有彩排丶的博客
10-11 1329
我们在做一些项目或者网站的时候需要配置https,以加强网站的安全性等,记录一下学习之路~ HTTPS认识 HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SS...
自建CA搭建https服务器的方案
03-23
您可以使用 OpenSSL 工具来创建自己的 CA证书,然后使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS。以下是大致的步骤: 1. 创建自己的 CA 使用 OpenSSL 工具创建自己的 CA,生成私钥和自签名证书。 2. 创建服务器证书 使用 OpenSSL 工具创建服务器证书,将其签名并与私钥一起存储。 3. 配置 Web 服务器 使用 Nginx 或 Apache 等 Web 服务器来配置 HTTPS,将服务器证书和私钥配置到服务器上。 4. 配置客户端 将 CA 证书安装到客户端上,以便客户端可以验证服务器证书的有效性。 以上是大致的方案,具体实现细节可以参考相关文档或教程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值