OpenSSL制作自签名V3证书

已于 2022-04-14 13:56:28 修改
阅读量5.1k 收藏 7
点赞数
分类专栏: # OpenSSL 文章标签: openssl pem jks p12 自签名证书
于 2022-04-14 13:36:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tfstone/article/details/124168945
版权

本文以制作指定ip(200.4.170.132)证书为例,其他ip或域名请自行更换。

1、创建根证书私钥

openssl genrsa -out RootCA.key 1024

2、创建根证书请求文件(CSR - Certificate Signing Request )

openssl req -subj "/C=CN/ST=Beijing/L=Beijing/O=lazyOrg/OU=lazyOrg/CN=root/emailAddress=afei@lazy.com"  -new -out RootCA.csr -key RootCA.key -keyform PEM

CN:姓名;
OU:组织单位名称;
O:组织名称;
L:市/自治区名称;
ST: 省份
C:国家/地区代码


一定要注意
1、根证书的CN字段和客户端证书、服务器端证书不能一样。
2、其他所有字段的填写,根证书、服务器端证书、客户端证书需保持一致。
3、根证书的Common Name填写root就可以,所有客户端和服务器端的证书这个字段需要填写域名。

3、自签根证书(可以是 pem、cer)

#CER
openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in RootCA.csr -out RootCA.cer -signkey RootCA.key -CAcreateserial -days 3650

#PEM  
openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in RootCA.csr -out RootCA.pem -signkey RootCA.key -CAcreateserial -days 3650

4、创建v3.ext、server.csr.cfg文件

v3.ext 

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = 200.4.170.132

server.csr.cfg 

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C=CN
ST=Beijing
L=Beijing
O=lazyOrg
OU=lazyOrg
emailAddress=afei@lazy.com
CN=200.4.170.132

6、自签名客户端证书

openssl req -new -sha256 -nodes -out client.csr -newkey rsa:2048 -keyout client.key -config <(cat server.csr.cfg)

#pem
openssl x509 -req -in client.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out client.pem -days 500 -sha256 -extfile v3.ext

#p12
openssl pkcs12 -export -clcerts -in client.pem -inkey client.key -out client.p12

8、自签名服务端证书(创建证书密钥server.key;以存储有 localhost 的配置 server.csr.cnf 进行设置)

openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <(cat server.csr.cfg)

#crt
openssl x509 -req -in server.csr -CA RootCA.cer -CAkey RootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext

#pem
openssl x509 -req -in server.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out server.pem -days 500 -sha256 -extfile v3.ext

#p12
openssl pkcs12 -export -in server.pem -inkey server.key -out server.p12 -passout pass:123456

9、生成JKS密钥库文件(用于TongWeb、Tomcat等)

keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -destkeystore server.keystore.jks \
	-srcstorepass 123456 -deststorepass 123456


#导入证书 (CA要加到秘钥库中!)
keytool -keystore server.keystore.jks -alias root_pem -import -file RootCA.pem
keytool -keystore server.keystore.jks -alias server_pem -import -file server.pem

总览:

OVER. 

Lazyafei
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
基于 OpenSSL 生成签名证书
qhh0205
05-18 1万+
基于 OpenSSL 生成签名证书 PKI、CA、SSL、TLS、OpenSSL几个概念 PKI 和 CA PKI 就是 Public Key Infrastructure 的缩写,翻译过来就是公开密钥基础设施。它是利用公开密钥技术所构建的,解决网络安全问题的,普遍适用的一种基础设施。 PKI 是目前唯一的能够基本全面解决安全问题的可能的方案。 PKI 通过电子证书以及管理这些电子证书的一整套设...
Openssl v3证书 配置文件。
crazy Crypto
05-22 4259
# # OpenSSL example configuration file. # This is mostly being used for generation of certificate requests. # # This definition stops the following lines choking if HOME isn't # defined. HOME
openssl生成v3_openssl生成证书
weixin_36431907的博客
12-31 331
目标是生成服务器证书(证书链是ca根 → abc)。在win10安装OpenSSL-Win64测试如下:生成openssl genrsa -out c:\t\ca.key 2048 ——生成私钥openssl req -x509 -new -nodes -key c:\t\ca.key -subj "/CN=qq.com/OU=department/O=CorpName/L=beijing/S...
Openssl v3证书 配置文件
shareinfo2018
09-17 1530
openssl
OpenSSL 密码库实现证书签发流程详解_加密机证书签发
2301_76348171的博客
05-13 762
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年嵌入式&物联网开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上嵌入式&物联网开发知识点,真正体系化!
OpenSSL建立自己的CA
inter999的专栏
10-29 2065
(1) 环境准备首先,需要准备一个目录放置CA文件,包括颁发的证书和CRL(Certificate Revoke List)。这里我们选择目录 /opt/ca。然后我们在/opt/ca下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙。CA的私钥匙很重要,至少需要2048位长度。建议保存在硬件里,或者至少不要放在网络中。除了生
【使用openssl生成https v3版本证书
weixin_42282363的博客
07-27 2357
最后生成ca.srl,server.crt两个文件,此时一共生成了server.key,server.csr,ca.srl,ca.crt,server.crt 5个文件。HTTPS是在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性,安全基础为SSL(安全套接字协议),或者叫TLS。-x509:专用于CA生成自签证书,如果不是自签证书则不需要此项。-days:证书的有效期限,单位是天。生成默认的V1.0版本的证书。-key:用到的私钥文件。-out:证书的保存路径。最后生成ca.crt文件。
OpenSSL 命令生成V3的自签证书
qq_42899518的博客
07-18 1603
OpenSSL 命令生成V3的自签证书 1.下载并安装OpenSSL Windows版本的OpenSSL下载地址:https://slproweb.com/products/Win32OpenSSL.html 下载安装完成后,为了以后方便操作,可以将OpenSSL添加到环境变量中 2.生成证书 使用命令生成一个2048位的证书密钥 openssl genrsa -out test.key...
ubuntu openssl v3证书
求道问术
06-23 604
【代码】ubuntu openssl v3证书
openssl 生成v3证书
wangsifu2009的专栏
06-30 5631
今天一下午都在调这个,网上也到处搜帖子,提问的一大票,能解决的暂时没有发现~~~~~ 想使用openssl生成一个只能用于签名证书,即证书的扩展属性:密钥用途,只能用于数字签名~但是我们一般使用openssl生成证书时,生成证书都是v1证书,是不带扩展属性的~~  方法: 在使用CA证书进行签署证书时:openssl x509 –req –in other-re
Rockey Linux下OpenSSL制作签名CA证书应用
最新发布
07-13
### Rocky Linux下OpenSSL制作签名CA证书应用 在当今高度数字化的世界中,网络安全变得尤为重要。其中,证书的使用是确保网络通信安全的关键之一。本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自...
openssl 生成client.jks与server.jks文件的方法
07-05
openssl 生成client.jks与server.jks文件的方法 在做WS安全性设计的时候 利用rampat时候需要使用的jks文件
使用openssl生成签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书的命令和基本验证命令。
openssl生成签名SSL证书
07-13
openssl生成签名SSL证书
Nginx配置SSL自签名证书的方法
09-30
签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们...
程序员都在学的docker--docker安全TLS验证(ca证书、服务端证书、客户端证书
kimowinter的博客
10-09 1548
文章目录一、 Docker-TLS加密通讯1.1 TLS介绍1.2 CA证书证书创建流程二、 TLS加密通讯实操实验目的实验环境实验参数实验过程1. 修改主机的前置环境2. 创建ca证书密钥3. 创建ca证书4. 创建服务端私钥5. 给服务端私钥签名6. 使用ca证书与私钥证书签名7. 生成客户私钥8. 给客户端证书签名9. 创建配置文件10. 创建客户端证书11. 整理证书12. 配置docker13. 传输证书,进行验证 一、 Docker-TLS加密通讯 1.1 TLS介绍 TLS (Transpor
openssl生成v3_使用OpenSSL生成签名证书
weixin_39541227的博客
12-22 459
虽然说都8102年了,Let’s Encrypt都支持通配符证书了,但是对我这种不想再去买个域名来给我内网的机器做证书的人来说,用自签名证书当然是最好的方式了。使用OpenSSL做自签名证书的教程网上一搜一把,但是搜出来的那些生成证书居然都在Firefox下无法通过。究其原因,是没有设置subjectAltName惹的祸。这里给一个生成脚本,让你一键(其实并没有)生成签名的SSL证书。注意使用...
openssl制作证书全过程
热门推荐
人生是自己设计的一次快乐旅行
06-11 2万+
一:生成CA证书  目前不使用第三方权威机构的CA来认证,自己充当CA的角色。   先决条件:从openssl官网下载www.openssl.org                安装openssl[windows和linux安装不同] 开始生成证书和密钥 如果没有配置环境变量,则需要进入openssl的bin目录下执行命令,如:C:/OpenSSL/
openssl创建自签名证书
04-22
好的,我了解,您的问题是如何使用openssl创建自签名证书。您可以按照以下步骤操作: 1. 生成私钥:运行以下命令生成一个私钥文件: openssl genrsa -out private_key.pem 4096 这将生成一个4096位的RSA私钥文件private_key.pem。 2. 生成证书请求:使用上一步生成的私钥文件生成证书请求文件: openssl req -new -key private_key.pem -out cert_request.csr 该命令会生成一个证书请求文件cert_request.csr,您需要填写一些关于您的组织和服务器的信息。 3. 生成签名证书:运行以下命令生成签名证书openssl x509 -req -days 365 -in cert_request.csr -signkey private_key.pem -out my_cert.pem 该命令将使用私钥文件和证书请求文件生成一个有效期为365天的自签名证书my_cert.pem。 以上就是使用openssl创建自签名证书的简要步骤,希望能对您有所帮助。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值