OpenSSL 生成自签名证书(Self-signed SSL certificate)【转】

最新推荐文章于 2024-02-22 15:54:33 发布
最新推荐文章于 2024-02-22 15:54:33 发布
阅读量8.2k 收藏 2
点赞数 1
分类专栏: 其他

环境:

CentOS 6.8 x86_64

安装

openssl openssl-devel
cp /etc/pki/tls/openssl.cnf openssl.cnf

修改openssl.cnf

[ req ]
distinguished_name = req_distinguished_name
default_md = sha256 #将sha1改为sha256
req_extensions = v3_req  #取消这行注释

确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉

[ req_distinguished_name ]
countryName              = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName             = State or Province Name (full name)
stateOrProvinceName_default = GuangDong
localityName              = Locality Name (eg, city)
localityName_default = ShenZhen
organizationalUnitName             = Organizational Unit Name (eg, section)
organizationalUnitName_default = 303 IT Lab
commonName         = IT Lab
commonName_max = 64
[ v3_req ]
Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names    #增加这行

# 新增以下部分
[ alt_names ]
DNS.1 = abc.com
DNS.2 = *.abc.com
DNS.3 = xyz.com
DNS.4 = *.xyz.com
# 可以自行增加多域名

创建相关目录及文件

mkdir -p CA/{certs,crl,newcerts,private}
touch CA/index.txt
echo 00 > CA/serial

1.生成ca.key并自签署

openssl req -utf8 -sha256 -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key

openssl genrsa -out server.key 2048

3.生成证书签名请求

openssl req -utf8 -new -sha256 -key server.key -out server.csr -config openssl.cnf

Common Name 就是在这一步填写 *.abc.com common name一定要在alt_names中包含

4.查看签名请求文件信息

openssl req -in server.csr -text

检查 Signature Algorithm 是不是sha256WithRSAEncryptio

5.使用自签署的CA,签署server.scr

openssl ca -in server.csr -md sha256  -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf

注意:即便是你前面是sha256的根证书和sha256的请求文件,如果不加-md sha256,默认是按照sha1进行签名的

6.查看证书

openssl x509 -in server.crt -text

同样检查 Signature Algorithm 是不是sha256WithRSAEncryptio

7.同理生成客户端证书

# client

openssl genrsa -out client.key 2048

openssl req -utf8 -new -sha256 -key client.key -out client.csr -config openssl.cnf

openssl ca -in client.csr -md sha256  -out client.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf -days 3650

8.将证书转成p12格式

openssl pkcs12 -export -clcerts -in ca.crt -inkey ca.key -out ca.p12
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
sing_sing
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开源库-openssl-self-signed-certificate
08-30
前端开源库-openssl-self-signed-certificateOpenSSL签名证书,用于开发的自签名证书,使用OpenSSL生成。有效期至4754年(4754-06-06)。
self-signed-ssl:使用OpenSSL生成签名TLS证书
03-21
签名TLS 该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。 用法 self-signed-tls [OPTIONS] self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit' self-signed-tls --ca-key=/path/to/CA.key --ca-cert=/path/to/CA.pem --ca-only 选项 一般的 选项 描述 -h --help 显示帮助并退出 -p VALUE --path=VALUE 输出生成键的路径 -d VALUE --duration=VALUE 证书有效的天数(默认为365 ) -b VALUE --bits=VALUE 密钥大小(以位为单位)(默认为2048 ) --n
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书或CA签名证书生成,以及证书内容的查看 生成签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
最新发布
chenhao0568的专栏
02-22 1599
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA或证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
SSL Error:Self signed certificate问题分析及解决
专注于大数据领域相关技术推广、学习、交流和合作。
11-12 2071
SSL Error:Self signed certificate问题分析及解决
【https】Self-Signed SSL证书创建和使用
dualvencsdn的博客
07-15 2682
一般可用于个人测试使用和非域名https访问,通常CA机构不支持颁发IP证书,只有个别OV机构支持公网IP证书,但只能用于大型机构组织的网站。Whentheserver.keyserver.csrfiles.Theserver.crtserver.key其中server.key为服务端私钥文件,用于后续传输加解密。server.crt为签好名的证书文件,其中包含了服务描述信息和公钥,用于发往客户端进行合法验证,公钥用于后续传输加解密。以最新版本nginx启用ssl配置为例3.重载nginx配置信息。....
用脚本(openssl)搭建一个self-signed certificate的https server
勤劳的小蜜蜂
08-17 957
网上有很多介绍如何创建self-signed certificate的文章,但是有个缺点是每一步必须输入多个参数,写脚本的时候就得写成交互式的,为了写脚本的方便性,本文通过配置文件来创建一个self-signed certificate。 1. 先创建一个文件夹:     mkdir /etc/httpd/ssl 2.  cd /etc/httpd/ssl 3. 写一个配置文件self_s
自签SSL证书有哪些安全隐患
weixin_52157869的博客
11-27 1063
https: 就目前看来,有很多重要的公网都使用了自签SSL证书,即自检的KPI系统颁发的证书,而不是部署支持浏览器的SSL证书。但是自签SSL证书普遍存在着很大的安全漏洞,极其容易受到攻击。 那么自签SSL证书存在着哪些风险呢? 风险一:自签SSL证书最容易受到中间人攻击。 自签SSL证书是不会被浏览器所信任的证书。当用户在访问自签SSL证书的时候,浏览器会提示用户该证书是不被信任的,需要人工操作是否信任该证书,用户必须点信任才能继续浏览,这就给中间人可乘之机。 风险二.:自签SSL证书很容易被假冒、伪造
创建并部署自签名SSL 证书到 Nginx
qq1353424111的博客
01-15 638
签名SSL 证书self-signed SSL certificate),就是未经过权威第三方认证的 SSL 证书,常常用作测试 https 连接之用。当用户访问使用这种 SSL 证书的网站时,往往会被提示“该网站的 SSL 证书未被认证!”。使用 CloudFlare 的 CDN 加速可以解决这个问题,CloudFlare 可以将你的网站的内容缓存到其分布全球的 CDN 节点上,而当用户...
遇到:postman Self-signed SSL certificate blocked 错误应该如何解决
抓饭不吃皮牙子
08-09 1747
遇到 "postman Self-signed SSL certificate blocked" 错误是因为 Postman 检测到你正在尝试访问一个使用自签名 SSL 证书的网站,并且默认情况下,Postman 会阻止对这样的网站进行请求。
执行Git命令时出现各种 SSL certificate problem 的解决办法
热门推荐
officercat的专栏
10-11 11万+
比如我在windows下用git  SSL certificate problem: self signed certificate
SSL签名证书
全栈攻城狮JSON的博客
11-25 6812
一、概念 1.1、TLS 传输层安全协议 Transport Layer Security 作为SSL协议的继承者,成为下一代网络安全性和数据完整性安全协议 1.2、SSL 安全套接字层 Secure Socket Layer 位于TCP/IP中的网络传输层,作为网络通讯提供安全以及数据完整性的一种安全协议 1.3、HTTPS HTTP+SSL(secure socket layer)/TLS(Transport Layer Security)协议,HTTPS协议为数字证书提供了最佳的应用环境 1.4、Op
self-signed SSL certificate tool
07-03
这是一个证书生成工具,用它可以在 IIS 中创建自签名证书。 它可以自定义证书的 CN,比 IIS 7 中自带的创建自签名证书的功能好很多。 比如你是一名 Web 开发人员,希望在本地 IIS 上部署支持 HTTPS 的站点, 并且希望在 IE 或者 Chrome 下信任本地 HTTPS,那么这个工具对你非常有用。 比如,在本地 IIS 上创建一个站点: www.mytest.com,并希望启用 HTTPS 你当然会为 www.mytest.com 创建一条 host 指向 127.0.0.1 你还需要一个证书,来支持启用 HTTPS. IIS7 中,只能创建颁发给 "localhost" 的证书。 这时你可以使用此工具,创建一个颁发给 "www.mytest.com" 的证书。 Microsoft (R) SelfSSL Version 1.0 Copyright (C) 2003 Microsoft Corporation. All rights reserved. Installs self-signed SSL certificate into IIS.
node-ssl-self-signed-certificate:用于开发的自签名 SSL 证书
06-26
ssl-自签名证书 用于开发的自签名 SSL 证书 var signCertificate = require ( 'ssl-self-signed-certificate' ) ; signCertificate ( 'my-passphrase' , function ( err ) { // Generated files // ./localhost.key // ./localhost.crt // ./passphrase } ) ; 我需要openssl二进制文件。 为了测试它需要curl 。 模块(密码,[选项],回调):未定义 生成签名 SSL 证书。 它创建 3 个文件:密钥、证书和密码。 密码文件只包含passphrase参数。 回调接收错误作为第一个参数。 选项: 证书文件-字符串证书的文件名。 默认为localhost.crt 。 天
ssl-self-signed:为您的domainIP生成签名SSL证书
05-26
为您的域/ IP生成100年的自签名ssl证书。 已要求 Linux 安装 npm install ssl-self-signed 例子 var sss = require ( 'ssl-self-signed' ) ; // auto generate CA sss ( { output : __dirname , commonName : '...
SSL证书问题SSL certificate problem: self signed certificate
不积跬步,无以至千里
04-19 2466
问题 自签名证书有问题 Remote URL test failed: unable to access 'https://xxx.git/': SSL certificate problem: self signed certificate 解决办法 直接配置全局忽略签名证书 git config --global http.sslVerify false 或者设置临时变量 windows set GIT_SSL_NO_VERIFY=true git clone linux env GIT_
SSL certificate problem: self signed certificate
我爱编程持之以恒
07-18 3万+
问题描述: 使用SmartGit工具clone项目时,弹出框提示信息为“XXXX,SSL certificate problem: self signed certificate” 问题分析: 提示信息为SSL认证失败,可以关闭SSL的认证 解决方案: 在windows的命令行窗口执行指令:set GIT_SSL_NO_VERIFY=true git clone 找到SmartGit中
使用 OpenSSL为WindowsServer远程桌面(RDP)创建自签名证书 (Self-signed SSL certificate)
生活在底层的低级码农
08-04 9906
前言 笔者查阅很多资料,才写成此文章,如有错误,请读者们及时提出。 一般大家使用远程桌面(Remote Desktop)连接Windows Server时,总会有一个警告提示,如图1 图1 出现此警告的原因为证书为服务器的自签名证书,我们的客户端无法识别,故笔者思考,如何使用证书安全的使用远程桌面(RDP)。 解决方法: 使用WIndowsServer自带的”AD证书服务”,...
使用 OpenSSL 创建ssl签名证书
weixin_50218044的博客
03-30 8426
最近工作中需要创建私有化的ssl签名证书,以前使用的都是申请的免费的,没有了解过这方面的信息,经过查阅各种资料,加上数次测试,终于搞定了,一起来看看吧 什么是签名证书签名证书是未经公共或私有证书颁发机构签名SSL/TSL 证书。相反,它由创建者自己的个人或根 CA 证书签名。 这里借用一下大哥uncle的巨作,一篇文章了解数字证书 为了一个HTTPS,浏览器操碎了心 申请付费ssl证书流程 使用私钥创建证书签名请求 (CSR) 。CSR 包含有关位置、组织和 FQDN(完全限..
redhat 7.9 如何修复 SSL Self-Signed Certificate
06-01
如果您使用的是 Red Hat 7.9 系统并遇到 SSL签名证书的问题,可以按照以下步骤修复: 1. 安装 CA 证书 首先,您需要安装 CA 证书。如果您已经拥有 CA 证书,则可以跳过此步骤。否则,您需要使用 openssl 工具生成一个 CA 证书。可以按照以下命令生成 CA 证书: ``` openssl req -x509 -newkey rsa:4096 -keyout ca.key -out ca.crt -days 365 ``` 此命令将生成一个名为 ca.crt 的 CA 证书文件和一个名为 ca.key 的私钥文件。 然后,您需要将 CA 证书文件(ca.crt)复制到 Red Hat 系统中,并将其添加到系统证书存储中。您可以使用以下命令将 CA 证书添加到系统证书存储中: ``` cp ca.crt /etc/pki/ca-trust/source/anchors/ update-ca-trust ``` 2. 创建自签名 SSL 证书 接下来,您需要创建自签名SSL 证书。可以按照以下命令生成签名SSL 证书: ``` openssl req -newkey rsa:4096 -keyout server.key -out server.csr -nodes openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 ``` 此命令将生成一个名为 server.crt 的自签名 SSL 证书文件和一个名为 server.key 的私钥文件。 3. 配置 Apache 或 Nginx 最后,您需要将自签名 SSL 证书配置到您的 Apache 或 Nginx 服务器中。具体的配置取决于您使用的服务器软件,但通常需要在服务器配置文件中指定 SSL 证书和私钥的路径。 例如,在 Apache 中,您可以编辑 /etc/httpd/conf.d/ssl.conf 文件,并指定以下选项: ``` SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key ``` 在 Nginx 中,您可以编辑 /etc/nginx/conf.d/default.conf 文件,并指定以下选项: ``` ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ``` 保存配置文件并重新启动 Apache 或 Nginx 服务器即可。 总之,以上是在 Red Hat 7.9 系统中修复 SSL签名证书的步骤,希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值