OpenSSL生成CA证书

最新推荐文章于 2024-05-17 20:13:14 发布
最新推荐文章于 2024-05-17 20:13:14 发布
阅读量890 收藏
点赞数 1
文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suwk1009/article/details/134163483
版权

基本概念

证书类别

  • 根证书:生成服务端证书,客户端证书的基础。自签名。
  • 服务端证书:由根证书签发。配置在服务器上。
  • 客户端证书:由根证书签发。配置在浏览器、移动APP等客户端上。

认证方式

  • 单向认证(Client鉴权Server)
    1、Client发送连接请求
    2、Server端将Server证书发送给Client
    3、Client使用CA根证书对Server证书进行鉴权
    请添加图片描述

  • 双向认证
    1、单向鉴权(Client鉴权Server)
    2、单向鉴权(Server鉴权Client)
    请添加图片描述

证书文件

  • .key:私有的密钥
  • .csr:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
  • .crt:证书文件,certificate的缩写
  • .crl:证书吊销列表,Certificate Revocation List的缩写
  • .pem:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式
  • .p12 或者 .pfx:用于实现存储许多加密对象在一个单独的文件中。通常用它来打包一个私钥及有关的 X.509 证书,或者打包信任链的全部项目

证书生成

Windows上可使用Git自带的OpenSSL生成,打开Git Bash
Linux本身自带OpenSSL

根证书

1、 生成CA私钥
openssl genrsa -out ca.key 2048
2、生成证书请求文件
openssl req -new -key ca.key -out ca.csr
需要输入证书信息,参考如下:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:GD
Locality Name (eg, city) []:GZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:HW
Organizational Unit Name (eg, section) []:DEV
Common Name (e.g. server FQDN or YOUR name) []:ROOT
Email Address []:xxx@sina.com
3、生成自签名CA根证书(有效期365天)
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

服务端证书

1、生成私钥,需要设定密码
openssl genrsa -des3 -out server.key ***
2、生成证书请求文件,需要输入上一步的密码
openssl req -new -key server.key -out server.csr
需要输入证书信息,最重要的一行是Common Name (e.g. server FQDN or YOUR name),您需要输入与服务器关联的域名,或者是您服务器的公共IP地址,参考如下:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:GD
Locality Name (eg, city) []:GZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:HW
Organizational Unit Name (eg, section) []:DEV
Common Name (e.g. server FQDN or YOUR name) []:10.10.8.8
Email Address []:xxx@sina.com
3、生成服务端证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
这一步可能会提示错误:
请添加图片描述

解决办法,使用如下命令创建文件:
mkdir -p demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo “01” > demoCA/serial

客户端证书

1、生成私钥,需要设定密码
openssl genrsa -des3 -out client.key 1024
2、生成证书请求文件,需要输入上一步的密码
openssl req -new -key client.key -out client.csr
注意输入的信息不要和服务端证书的一样,否则会报 ERROR:There is already a certificate for XXX 问题,比如我这里的Common Name不一样:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:GD
Locality Name (eg, city) []:GZ
Organization Name (eg, company) [Internet Widgits Pty Ltd]:HW
Organizational Unit Name (eg, section) []:DEV
Common Name (e.g. server FQDN or YOUR name) []:MY
Email Address []:xxx@sina.com
3、生成客户端证书
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

证书导出

有时需要用到pem或pfx格式的证书,可以用以下方式生成

生成pem格式证书

cat client.crt client.key > client.pem
cat server.crt server.key > server.pem

生成pfx(p12)格式证书

openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12

屠龍之技
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL 生成证书
昨夜西风凋碧树,独上高楼,望尽天涯路。
04-11 217
文章目录Generating certificatesCertificate AuthorityServerClient生成V3版本证书 Generating certificates The sections below give the openssl commands that can be used to generate certificates, but without any con...
OpenSSL生成证书
Jerry的专栏
03-18 1922
<br /><br />要生成证书的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt ./demoCA/serial,在serial文件中写入第一个序列号“01”<br />1.生成X509格式的CA自签名证书 <br />$openssl req -new -x509 -keyout ca.key -out ca.crt<br /> <br />2.生成服务端的私钥(key文件)及csr 文件 <br />$openssl gen
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书CA签名证书生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 3076
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
通过openSSL生成自签名根证书及根据根证书颁发的用户证书
adminstate的博客
07-20 1162
数字证书
linux: 使用OpenSSL检测和处理PEM证书
最新发布
十年运维开发经验的王义杰在此分享自己的知识和经验
05-17 407
通过本文的方法和脚本,您可以在Linux系统中高效地检测PEM证书是否为自签名证书,并查询其过期时间。这些技术和自动化脚本将大大简化证书管理任务,提高工作效率。使用OpenSSL结合其他命令,可以轻松实现证书信息的处理和查询,满足日常运维和开发的需求。
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
openssl生成CA证书
m0_46500807的博客
02-10 421
openssl生成CA证书 https://blog.csdn.net/cowbin2012/article/details/100134114
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6338
openssl ca
openssl生成ca证书流程
u013078871的博客
01-12 1331
先说总体流畅,下面再说具体的实施步骤 总体流程:
使用OpenSSL创建测试CA证书的标准方法
10-01
使用OpenSSL创建测试CA证书的标准方法,OpenSSL,CA,Certificate
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
自建CA证书和对应私钥(PEM格式)
04-26
本资源是自建的一个CA证书和私钥,可以用于测试https网络安全测试,在服务器端使用此证书配置,终端访问可以实现https访问,其中证书和密钥都是以文件的形式存储,证书的有效期是两年。
openssl生成ca证书和服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
OpenSSL 一键生成证书
08-10
这个项目通过批处理脚本实现了自动化,为研发人员提供了"一键生成CA证书"、"一键生成Server证书"和"一键生成Client证书"的功能。 1. **CA证书(Certificate Authority)**:CA证书是用于签署其他证书的权威证书,它...
OpenSSL生成ssl证书
01-11
**OpenSSL生成ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
OpenSSL建立自己的CA
inter999的专栏
10-29 2064
(1) 环境准备首先,需要准备一个目录放置CA文件,包括颁发的证书和CRL(Certificate Revoke List)。这里我们选择目录 /opt/ca。然后我们在/opt/ca下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙。CA的私钥匙很重要,至少需要2048位长度。建议保存在硬件里,或者至少不要放在网络中。除了生
openssl生成证书
kobe_okok的博客
04-06 336
这会生成一个服务器证书文件 server-certificate.pem 和相应的私钥文件 server-private-key.pem。这会生成一个客户端证书文件 client-certificate.pem 和相应的私钥文件 client-private-key.pem。这会生成一个自签名的根证书文件 ca-certificate.pem 和相应的私钥文件 ca-private-key.pem生成证书文件可以按需复制到 OPC UA 服务器和客户端的配置中,并确保配置中引用了正确的证书路径和文件。
OpenSSL生成安全证书的命令范例
程序员的天堂
10-08 394
CA:     ca.key    生成证书的密钥    openssl genrsa -out ca.key 1024     ca.csr    证书请求    openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=GD/L=GZ/O=BANK/OU=BANK/CN=*.bank.com"     ca.crt    生成...
使用 openssl 生成证书(含openssl详解)
热门推荐
萧海的博客
06-04 1万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
利用OpenSSL自签证书CA颁发证书
11-14 698
其中,-CA参数指定CA证书,-CAkey参数指定CA私钥,-CAcreateserial参数表示生成一个新的序列号文件,-out参数指定输出的证书文件名,-days参数表示证书的有效期。OpenSSL是一个开源的加密工具包,可以用于生成自签证书和颁发证书。在生成证书请求时,需要填写证书的信息,包括国家、地区、组织、单位、通用名称等。其中通用名称应该是您的域名或IP地址。该命令将使用私钥和证书请求生成自签证书。将自签证书的CSR文件发送给CA,由CA颁发证书。在生成证书请求时,也需要填写证书的信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值