ubuntu创建自签名证书

最新推荐文章于 2025-05-19 13:45:36 发布
原创 最新推荐文章于 2025-05-19 13:45:36 发布 · 2.7k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openssl

本文详细介绍在Ubuntu17.04系统中,如何生成RSA私钥,利用私钥创建CA证书,以及如何生成自签名证书的全过程。文章包括创建私钥、生成证书请求、使用CA证书签名等步骤。

系统版本:

Ubuntu 17.04。首先生成一个RSA私钥:

$
$ mkdir private
$  
$ openssl genrsa -out private/cakey.pem 2048
Generating RSA private key, 2048 bit long modulus
.......................................................................................................................................+++
.......................................................+++
e is 65537 (0x10001)
$

接下来,使用以上的私钥生成CA证书:

$ 
$ openssl req -new -x509 -key private/cakey.pem -out cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:Development
Email Address []:sec@test.com
$ 
$ 
$ ls
cacert.pem  private
$

可使用以下命令查看证书内容:

$ openssl x509 -in cacert.pem -noout -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9410302713013285385 (0x82981c75a60d3209)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=BJ, L=BJ, O=Test, OU=Security, CN=Development/emailAddress=sec@test.com
        Validity
            Not Before: Nov 18 06:20:55 2019 GMT
            Not After : Dec 18 06:20:55 2019 GMT
        Subject: C=CN, ST=BJ, L=BJ, O=Test, OU=Security, CN=Development/emailAddress=sec@test.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
		...

以下操作用于生成名称为test.crt的自签名证书。首先生成test的私钥:

$  
$ openssl genrsa -out test.key 2048     
Generating RSA private key, 2048 bit long modulus
....+++
......+++
e is 65537 (0x10001)
$

接下来,使用test的私钥生成证书请求:

$ 
$ openssl req -new -key test.key -out test.csr      
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:NJ
Locality Name (eg, city) []:^C
$ openssl req -new -key test.key -out test.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test
Organizational Unit Name (eg, section) []:Security
Common Name (e.g. server FQDN or YOUR name) []:Development
Email Address []:sec@test.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:111111
An optional company name []:
$ 
$ 
$ ls
cacert.pem  private  test.csr  test.key
$

创建自签名需要用到的目录demoCA/newcerts,以及文件index.txt和serial。

$ 
$ mkdir -p  demoCA/newcerts
$ 
$ touch demoCA/index.txt
$ 
$ echo 01 > demoCA/serial
$

以下对test的证书请求,使用开始时生成的CA证书和私钥进行签名,生成test的自签名证书test.crt。

$ 
$ openssl ca -in test.csr -cert cacert.pem -keyfile private/cakey.pem -days 365 -out test.crt
Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Nov 18 06:25:34 2019 GMT
            Not After : Nov 17 06:25:34 2020 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BJ
            organizationName          = Test
            organizationalUnitName    = Security
            commonName                = Development
            emailAddress              = sec@test.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                B7:AF:39:DC:E2:05:DB:05:DA:D2:90:53:A8:34:A0:77:FD:80:5D:08
            X509v3 Authority Key Identifier: 
                keyid:67:BF:09:FC:58:01:FC:D7:D4:9D:47:93:07:00:8C:DF:FF:BE:36:B9

Certificate is to be certified until Nov 17 06:25:34 2020 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$ 
$ 
$ ls
cacert.pem  demoCA  private  test.crt  test.csr  test.key
$

最后以及test的私钥生成test的公钥:

$ 
$ openssl rsa -in test.key -pubout -out test.pub.key    
writing RSA key
$

END

Ubuntu22.04上部署自签名SSL证书
BBM的博客
09-24 3157
自签名证书签发相对于商业证书流程简单,费用低廉,更新容易。所以在开发领域、甚至一些小众场景下特别常见,比如公司的内网服务、网站安全证书、企业路由器设备的管理后台、用于管理企业员工的“安全准入客户端”等不乏使用这个方案。
Ubuntu18.04 使用 openssl制作自签名证书
Arsen的博客
05-19 1780
执行“openssl verison”,判断系统是否已安装openssl,若没有安装,请使用apt安装openssl。 一、图解自签名过程 二、关于 CRT PEM KEY CST等后缀的说明 以下引用出处:那些证书相关的玩意儿(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等) SSL SSL - Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别
Ubuntu 下测试自签证书
zhbpd的专栏
05-31 530
1. 创建 catest 目录,复制 openssl.cnf 文件到此目录,然后编辑此文件,修改certificate 和 private_key的名称 mkdir catest cd catest /catest$ cp /etc/ssl/openssl.cnf . /catest$ vim openssl.cnf ... [ CA_default ] certificate = $dir/root/ca.crt private_key = $dir/private/ca.key ..
ubuntuopenssl签名证书制作流程及验证demo
HO_PE的博客
11-12 867
ubuntu下使用openssl 生成证书流程
ubuntu下自我签名数字证书
chen_jianjian的专栏
08-07 4758
引言 本博文使用的 CA CA即数字证书认证机构,英文全称为Certificate Authority,也称为电子商务认证中心、电子商务认证授权机构或证书授权中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。  CSR CSR即证书请求文件,英文全称为Cerificate Signing Request,证书申请者在申
ubuntu 使用openssl制作一个自签名证书
weixin_43632687的博客
12-27 2011
自签名证书
如何通过OpenSSL创建自签名的CA证书?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
11-23 2112
如何利用该根证书签署其他证书(即子证书),包括服务器证书和其他类型的证书;介绍客户端验证整个证书链的详细过程。
使用 OpenSSL 构建自签名证书步骤详解
最新发布
dotnet研习社
05-19 3693
本文详细介绍了如何使用 OpenSSL 生成自签名证书,适用于本地测试、内部服务通信等场景。文章从环境准备开始,逐步讲解了如何生成私钥、创建证书签名请求(CSR)、生成自签名证书,并提供了包含扩展信息(如 SAN)的证书生成方法。此外,还介绍了如何验证证书信息,并通过 Node.js 示例展示了如何在本地 HTTPS 服务中使用自签名证书。最后,文章总结了自签名证书的用途和局限性,并鼓励读者通过实践掌握 OpenSSL
生成一个自签名证书
qq_31532979的博客
12-13 2341
您可以使用 Apache、Nginx 或任何其他支持 HTTPS 的 Web 服务器来配置此证书。由于是自签名证书,浏览器会显示安全警告。要避免警告,您可以手动将证书导入到浏览器的信任列表中。通过这些步骤,您就可以成功地创建自签名证书并将其导入到浏览器,从而实现 HTTPS 访问。然后,生成证书签署请求(CSR),但这里我们不需要将其提交给证书颁发机构,而是直接自签。最后,使用生成的 CSR 和私钥创建自签名证书(将证书和私钥文件上传到服务器上的一个目录,例如。将证书和私钥文件上传到服务器的某个目录,如。
OpenSSLUbuntu下自签SSL证书
weixin_44558408的博客
07-04 2331
OpenSSL自签证书方法
如何在 Ubuntu 16.04 上为 Nginx 创建自签名 SSL 证书
rubys007的博客
05-07 1870
TLS,即传输层安全,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部方拦截。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,您将学习如何为 Ubuntu 18.04 上的 Apache Web 服务器设置自签名 SSL 证书。
window和ubuntu自签证书
若疆~赤云
04-25 454
证书生成完了,可以使用nginx配置 key 和 crt 记得编辑对自己的 server_name;# test_10:自定义证书名称 .AddYears(10): 证书过期时间 10 年。# "password": 证书密码 可以自己设置 ,后面导出和生成 使用。# CN=192.168.0.100 (换成自己的IP或者域名)# Cert:\LocalMachine\My:证书存储位置。# 重启 power shell (以管理员身份)!# O=(组织) OU=(组织单位)
Unbuntu下怎么生成SSL自签证书?
本博客,博文仅代表个人操作经验,不能完全解决你的问题,仅供参考,佛系回复。
12-19 1460
WSL2。
如何在 Ubuntu 18.04 上为 Nginx 创建自签名 SSL 证书
rubys007的博客
05-07 1277
TLS,即传输层安全性,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部方拦截。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,我们将向您展示如何为 Ubuntu 18.04 服务器上的 Nginx Web 服务器设置自签名 SSL 证书。
如何在 Ubuntu 18.04 上为 Apache 创建自签名 SSL 证书
rubys007的博客
05-06 2476
TLS,即传输层安全,及其前身SSL,即安全套接字层,是用于将普通流量包装在受保护的加密包装中的网络协议。使用这项技术,服务器可以在服务器和客户端之间安全地发送流量,而不会被外部方拦截。证书系统还帮助用户验证他们正在连接的站点的身份。在本指南中,您将学习如何为 Ubuntu 18.04 上的 Apache Web 服务器设置自签名 SSL 证书。
ubuntu 自签名证书配置 https
Marhal的博客
10-16 1501
Ubuntu默认已经安装了OPENSSL,如果没安装, sudo apt-get install openssl 激活SSL模块 sudoa2enmodssl 重启apache service apache2 reload 创建自签名SSL证书 sudomkdir/etc/apache2/ssl req -new -newkey rsa:2048 -nodes...
如何在Ubuntu 16.04中为Apache创建一套自签名SSL证书
zstack_org的博客
04-11 4058
提供:ZStack云计算 内容介绍TLS,全称为传输层安全,及其前身SSL,全称为安全嵌套层,都属于将普通流量打包为受保护加密封装的Web协议。使用这项技术,服务器能够在服务器与客户间安装传输数据,而无需担心消息为外部所截获。其证书系统还能够帮助用户核实其所连接站点的身份。在本教程中,我们将探讨如何在Ubuntu 16.04服务器上为Apache Web服务器设置一份自签名SSL证书。注意:自签名证
ubuntuopenssl生成私钥和证书步骤
热门推荐
KevinLiu's Notes
01-21 1万+
以下简介引用自百度文库: “ OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的
Ubuntu 个人电脑认证硬件
algzjh的博客
06-12 1165
Dell Inspiron 3135 Laptop Dell Inspiron 3441 Laptop Dell Inspiron 3541 Laptop Dell Inspiron 5437 Laptop Dell Inspiron 5439 Laptop Dell Inspiron 5537 Laptop Dell Inspiron 5547 Laptop Dell Inspiro
如何创建自签名 SSL 证书?
04-01
### 如何生成自签名SSL证书 #### 方法概述 为了在本地环境或测试环境中启用 HTTPS 功能,可以通过 OpenSSL 工具生成自签名 SSL 证书。这种方法无需支付费用给 CA(证书颁发机构),适用于开发和测试场景。 --- #### 步骤说明 1. **安装 OpenSSL** 如果尚未安装 OpenSSL,则需要先完成安装。对于 Windows 用户,可以从官方网站下载并配置 OpenSSL;而对于 Linux 系统(如 CentOS 或 Ubuntu),可以直接通过包管理器安装。 对于 CentOS 7,运行以下命令安装 OpenSSL: ```bash sudo yum install openssl ``` 2. **生成私钥** 使用 OpenSSL 命令生成一个 RSA 私钥文件。此文件应妥善保管,切勿泄露。 ```bash openssl genpkey -algorithm RSA -out private.key -aes256 ``` 这里 `-aes256` 参数表示对私钥进行 AES-256 加密保护[^1]。 3. **创建证书签署请求 (CSR)** 接下来生成 CSR 文件,其中包含有关您的身份的信息以及公钥。 ```bash openssl req -new -key private.key -out certificate.csr ``` 执行该命令后会提示输入一些信息,例如国家、省份、城市、组织名称等。这些字段可以根据实际需求填写。 4. **生成自签名证书** 利用之前生成的私钥和 CSR 来创建自签名证书。默认情况下有效期为一年,也可以指定更长时间。 ```bash openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out selfsigned.crt ``` 上述命令中的 `selfsigned.crt` 即为目标自签名证书文件[^2]。 5. **验证证书** 可以使用如下命令查看新生成的证书详情: ```bash openssl x509 -in selfsigned.crt -text -noout ``` 6. **部署到 Web 服务器** 将生成好的 `.crt` 和 `.key` 文件复制至目标服务器目录,并按照所使用的 HTTP(S) 软件文档指引加载它们。比如,在 Nginx 中需修改站点配置文件加入 ssl_certificate 和 ssl_certificate_key 指向上述两个文件路径。 --- #### 注意事项 尽管自签名证书能够满足基本的安全传输需求,但由于未经过权威认证中心签发,在浏览器访问时可能会触发警告消息。这是正常现象,仅影响用户体验而不妨碍功能实现。 ```python import os def generate_ssl_cert(): """模拟生成自签名SSL证书过程""" key_command = 'openssl genpkey -algorithm RSA -out private.key -aes256' csr_command = 'openssl req -new -key private.key -out certificate.csr' cert_command = 'openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out selfsigned.crt' try: os.system(key_command) os.system(csr_command) os.system(cert_command) print("Self-signed SSL Certificate generated successfully.") except Exception as e: print(f"Error during generation: {e}") generate_ssl_cert() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值