OPENSSL证书制作与浏览器认证

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量1.3k 收藏 4
点赞数
分类专栏: 网络安全 文章标签: openssl 证书 CA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_20184565/article/details/90302294
版权

 

准备环境

$ mkdir -p CA/{certs,crl,newcerts,private}
$ 
$ touch CA/index.txt
$ 
$ echo 00 > CA/serial

生成CA秘钥

$ openssl genrsa -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
...........................................................+++
...............+++
e is 65537 (0x10001)
$

签署CA

$ openssl req -sha256 -new -x509 -days 3650 -key ca.key -out ca.crt -newkey rsa:2048
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:home
Organizational Unit Name (eg, section) []:desk
Common Name (e.g. server FQDN or YOUR name) []:www.home.desk.com
Email Address []:home@hm.com
$

查看证书内容

$ openssl x509 -noout -text -in ca.crt 
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 12914197379374815003 (0xb33872181cea971b)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=CN, ST=BJ, L=BJ, O=home, OU=desk, CN=www.home.desk.com/emailAddress=home@hm.com
        Validity
            Not Before: May 17 09:12:47 2019 GMT
            Not After : May 14 09:12:47 2029 GMT
        Subject: C=CN, ST=BJ, L=BJ, O=home, OU=desk, CN=www.home.desk.com/emailAddress=home@hm.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:

$ ls
CA  ca.crt  ca.key
$

生成服务器秘钥

$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
.................................................+++
............................................................................................+++
e is 65537 (0x10001)
$

生成服务器证书请求,注意Country Name、State、Locality Name和Organization Name最好与CA证书填写的内容一致。

$ openssl req -new -sha256 -key server.key -reqexts v3_req -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BJ
Locality Name (eg, city) []:BJ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:home
Organizational Unit Name (eg, section) []:desk
Common Name (e.g. server FQDN or YOUR name) []:www.home.desk
Email Address []:home@desk.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:111111
An optional company name []:.
$

使用上一节的CA证书和秘钥签发服务器证书

$ openssl ca -in server.csr -md sha256 -keyfile ca.key -cert ca.crt -extensions v3_req -out server.crt
Using configuration from /usr/lib/ssl/openssl.cnf
I am unable to access the ./demoCA/newcerts directory
./demoCA/newcerts: No such file or directory
$

如果遇到以上问题,执行以下操作:

$ mkdir -p demoCA/newcerts
$ 
$ touch demoCA/index.txt
$
$ echo 00 > demoCA/serial

在次运行签发命令:

$ openssl ca -in server.csr -md sha256 -keyfile ca.key -cert ca.crt -extensions v3_req -out server.crt
Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
The organizationName field needed to be the same in the
CA certificate (home) and the request (server)
$

以上提示CA证书和服务端的证书请求中的组织名称不相同,最好设置为相同的。

$ openssl ca -in server.csr -md sha256 -keyfile ca.key -cert ca.crt -extensions v3_req -out server.crt
Using configuration from /usr/lib/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 0 (0x0)
        Validity
            Not Before: May 17 09:49:08 2019 GMT
            Not After : May 16 09:49:08 2020 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BJ
            organizationName          = home
            organizationalUnitName    = desk
            commonName                = www.home.desk
            emailAddress              = home@desk.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment
Certificate is to be certified until May 16 09:49:08 2020 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
$

完成之后的目录结构:

$ ls
CA  ca.crt  ca.key  demoCA  server.crt  server.csr  server.key
$

将CA根证书嵌入window证书管理器,Chrome或者IE浏览器会从window的系统中读取证书,当用户访问我们的完整www.home.desk时,将不在阻拦,其认为是合法的证书。进入CMD命令行,执行certmgr命令,打开windows的证书管理器,导入ca.crt证书文件到“受信任的根证书颁发机构”中。也可到浏览器自带的证书管理界面进行导入。

 

END

 

redwingz
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
记录一次CA服务器搭建
Sean_TS_Wang的博客
07-26 448
简介 今天接到一个需求,需要将http通信改成https通信,第一个反应就是,啥?这东西也归我们负责吗?这不是运维做的事情吗?经过一番激烈地讨论之后,这项任务就落到了我头上了(我是谁?我在哪?为什么我会在这?) 经过一番搜索,见证了搜索引擎的强大与弱小。但是最终算是解决了这个问题,在此,留下记录,供给后来人一个参考。 下面是我参考的一些博文: https://www.cnblogs.com/qiuhom-1874/p/12237944.html https://blog.csdn.net/we.
例说图解TCP/IP协议族--PKI与证书(5)利用openssl制作自签发证书
123¥567
05-04 1535
1 制作前搞清楚一些概念 (1)何为自签发证书 自签发证书,顾名思义就是证书的拥有者和颁发者(CA)都是自己。自签发证书的好处是,随时随地可以签发。 不好之处是,但当用户访问自签发证书的设备时,会不信任该证,需要用户干预是否信任本证书。当然用户可以提前把设备的证书存放下来,放在自己的证书信任列表(CTL)里面。 这样虽然不会每次弹出是否信任证书的窗口,但是每当用户访...
OpenSSL签发证书时编码UTF8STRING PRINTABLESTRING不匹配
健忘16的博客
02-18 4751
问题如下: Check that the request matches the signature Signature ok The countryName field is different between CA certificate (CN) and the request (CN) 可以看出,CA和REQ的DN内容是一致的,依旧报错。其实是编码的问题。 使用以下指令看编码格式: openssl asn1parse -in /etc/pki/CA/cacert.pem opens
openssl制作证书
zqj1172102457的博客
04-20 239
搭建制作证书的环境 新建一个证书制作的测试目录,比如mycerts 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息 /home/mycerts # mkdir demoCA 创建demoCA/newce...
openssl 生成证书步骤
hinewcc的博客
05-08 2846
本地使用 openssl 生成证书
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
openssl,用于制作证书
最新发布
07-18
openssl,用于制作证书
OpenSSL证书制作
12-22
OpenSSL制作CA证书操作步骤,参照文档具体操作步骤。
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
Rockey Linux下OpenSSL制作自签名CA证书应用
07-13
Rockey Linux下OpenSSL制作自签名CA证书应用
openssl生成认证证书的工具
10-21
加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为...
./demoCA/newcerts: No such file or directory
swanabin的专栏
09-14 9154
转自VC错误:http://www.vcerror.com/?p=2029 问题描述: 用生成的CA证书server.csr与client.csr文件签名; openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf openssl ca -in client.cs
openssl CA服务器模拟指令CA详解
yexiangCSDN的专栏
02-01 965
1、CA概述 首先我们需要明确CACA服务器的区别,CA是指集技术和管理与一体的庞大机构,不仅要求技术能力,还需要相应的管理能力。CA服务器相对来说比较简单,完成指定功能的一个应用程序。具体功能包括接受申请证书的请求、审核证书请求、签发证书、发布证书、吊销证书、生成和发布证书吊销列表及证书库的管理。 openssl提供了ca指令来模拟ca服务器,完成上述功能。上述功能繁杂,本文则主要
OpenSSL 制作证书时出现的错误的解决办法
07-19 6552
制作证书的过程中遇到的问题及解决办法: 出现:I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts:Nosuch file or directory 解决:修改openssl.cnf 在42行:dir = ./demoCA修改为 dir = ./ 出现:failed t...
基于 OpenSSLCA 建立及证书签发
先做个码农
01-09 411
转自http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/ 建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于/usr/ssl/openssl.cnf 内,详情可参见 config (1) 。在终端中使用如下命令建...
通过openssl搭建CA中心并验证签名证书有效
weixin_30485379的博客
03-25 386
在linux下搭建CA中心,并在客户端验证CA签名是否正确:   在linux上搭建CA中心主要是通过openssl工具包进行的:   1.ca中心的文件夹结构树      demoCA/ |--cacert.pem |--certs | |--01.pem |--index.txt |--index.txt.attr |--openssl.cnf |...
基于OpenSS 的CA 建立及证书签发
tracyjk的专栏
11-05 740
转自:file:///C:/Users/Administrator/Desktop/%E5%9F%BA%E4%BA%8EOpenSS%20%E7%9A%84CA%20%E5%BB%BA%E7%AB%8B%E5%8F%8A%E8%AF%81%E4%B9%A6%E7%AD%BE%E5%8F%91.htm 1、建立CA目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件
Java加密技术(十一)——双向认证
热门推荐
AI开源工具分享
11-07 3万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘
OpenSSL生成自签名证书(Linux)
一杯咖啡的渗透记忆
09-23 2987
一般自签名证书 OpenSSL生成的自签名证书,携带密钥用法: 具体的操作步骤如下: 涉及到命令: openssl genrsa -out root.key 1024 openssl req -new -out root-req.csr -key root.key -keyform PEM openssl x509 -req -extfile /etc/ssl/openssl.cnf -extensions v3_req -in root-req.csr -out root-c
网络安全中的证书管理与OpenSSL
"网络安全中的证书管理与OpenSSL实验室第六课" 在网络安全中,证书管理扮演着至关重要的角色,尤其是在开放源代码加密库OpenSSL的环境中。证书是保证数据传输安全的关键元素,它确保了网络中通信双方的身份真实性,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值