openssl生成证书链多级证书、证书吊销列表(CRL)

最新推荐文章于 2024-07-06 14:13:10 发布
最新推荐文章于 2024-07-06 14:13:10 发布
阅读量2.6w 收藏 35
点赞数 7
分类专栏: SSL OpenSSL 文章标签: openssl cert
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010129119/article/details/53419581
版权
OpenSSL 同时被 2 个专栏收录
10 篇文章 1 订阅
订阅专栏
SSL
4 篇文章 1 订阅
订阅专栏

注:本实验在fedora 24下,openssl1.1.0

  • 初始化

    rm -rf /etc/pki/CA/*.old
touch /etc/pki/CA/index.txt

touch /etc/pki/CA/index.txt.attr
echo "unique_subject = no" > index.txt.attr

echo 01 > /etc/pki/CA/serial
echo 02 > /etc/pki/CA/serial
rm -rf keys
mkdir keys

  • 生成根CA并自签(Common Name填RootCA)

    openssl genrsa -des3 -out keys/RootCA.key 2048
openssl req -new -x509 -days 3650 -key keys/RootCA.key -out keys/RootCA.crt

  • 生成二级CA(Common Name填SecondCA)

openssl genrsa -des3 -out keys/secondCA.key 2048
openssl rsa -in keys/secondCA.key -out keys/secondCA.key
openssl req -new -days 3650 -key keys/secondCA.key -out keys/secondCA.csr
openssl ca -extensions v3_ca -in keys/secondCA.csr -config /etc/pki/tls/openssl.cnf -days 3650 -out keys/secondCA.crt -cert keys/RootCA.crt -keyfile keys/RootCA.key
  • 生成三级CA(Common Name填ThirdCA)
openssl genrsa -des3 -out keys/thirdCA.key 2048
openssl rsa -in keys/thirdCA.key -out keys/thirdCA.key
openssl req -new -days 3650 -key keys/thirdCA.key -out keys/thirdCA.csr
openssl ca -extensions v3_ca -in keys/thirdCA.csr -config /etc/pki/tls/openssl.cnf -days 3650 -out keys/thirdCA.crt -cert keys/secondCA.crt -keyfile keys/secondCA.key
  • 使用三级CA签发服务器证书
openssl genrsa -des3 -out keys/server.key 2048
openssl rsa -in keys/server.key -out keys/server.key
openssl req -new -days 3650 -key keys/server.key -out keys/server.csr
openssl ca -in keys/server.csr -config /etc/pki/tls/openssl.cnf -days 3650 -out keys/server.crt -cert keys/thirdCA.crt -keyfile keys/thirdCA.key

注:

指定证书数据内容

-subj /C=CN/ST=Guangdong/L=Shenzhen/O=PAX/OU=Common Software/CN=Server CA/emailAddress=qiaojx@paxsz.com

去掉key加密的输入提示:

去掉 -des3

don’t ask question

-batch

crt转pem格式

openssl x509 -in mycert.crt -out mycert.pem -outform PEM

吊销证书(作废证书)

首先

echo 00 > /etc/pki/CA/crlnumber

一般由于用户私钥泄露等情况才需要吊销一个未过期的证书。(当然我们用本测试CA时其时很少用到该命令,除非专门用于测试吊销证书的情况)
假设需要被吊销的证书文件为client.pem,则执行以下命令吊销证书:

openssl ca -revoke client.pem -cert RootCA.pem -keyfile RootCA.key -config /etc/pki/tls/openssl.cnf

生成证书吊销列表文件(CRL)
准备公开被吊销的证书列表时,可以生成证书吊销列表(CRL),执行命令如下:

openssl ca -gencrl -out client.crl -cert RootCA.pem -keyfile RootCA.key -config /etc/pki/tls/openssl.cnf

还可以添加-crldays和-crlhours参数来说明下一个吊销列表将在多少天后(或多少小时候)发布。

可以用以下命令检查client.crl的内容:

openssl crl -in client.crl -text -noout
The_Hungry_Brain
关注
  • 7
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
openssl生成证书吊销列表
weixin_33850015的博客
10-18 1161
一,先来讲讲基本概念。证书分类:按类型可以分为CA证书和用户用户证书,我们我说的root也是特殊的CA证书。用户证书又可以根据用途分类,放在服务器端的称为服务器证书,放在客户端一般称为客户端证书(这种说法不是很准确,只是一种理解。实际应该是在对客户端认证时才会用到客户端证书且root、ca证书都可以放在客户端),记住,这两种证书都应为用户证书。一般可以理解为证书由key和证书...
java 生成crl吊销列表_【安全】吊销列表的使用
weixin_33481022的博客
02-24 1260
吊销列表吊销列表(Certificate Revocation List)列出不能再使用的证书吊销列表文件具有两种格式:一种是二进制格式,使用DER的编码格式,DER是BER编码规则的一个子集;文件名以.crl结尾。另外一种是文本格式,使用的是Base64编码并且带头带尾的特定格式,Base64是用于将不可见字符转换为可见字符的一种编码;文件名以.pem结尾。吊销列表内容吊销列表文件包含以下内容...
opensll 证书CRL生成
qq_44401850的博客
07-12 1439
openssl生成CRLCRL解析,且验证证书吊销列表
测试环境:使用OpenSSL生成证书并配置Https
最新发布
liao3399084的博客
07-06 1128
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
生成GmSSL证书吊销列表
xiejianjun417的专栏
08-04 476
GmSSL生成国密证书请查看:GmSSL证书生成 使用以下脚本来吊销生成证书: #!/bin/sh #Generate GM certificate crl file #Author : xiejianjun #Date : 2020-07-31 CurPath=`dirname $(readlink -f $0)` GmsslRootPath=/projects/GmSSL GmsslBin=${GmsslRootPath}/apps/gmssl DemoCaDir=${GmsslRootPa
证书吊销列表(CRL)简单介绍与相关openssl C api功能测试
TappaT的博客
05-13 2234
在近期的工作项目中涉及到了证书吊销列表(CRL)相关的一些知识,打算记录一下自己写的一个通过CRL验证自签名证书有效性的测试程序,并分享遇到的一些坑。
证书吊销列表CRL解析工具(Java)
09-04
证书吊销列表CRL解析工具(Java)
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
OpenSSL生成的ssl证书
01-11
3. **生成证书签名请求(CSR)**:接着,基于刚才生成的私钥创建一个证书签名请求,这将包含服务器的相关信息。命令如下: ``` openssl req -new -key private.key -out CSR.csr ``` 在交互式提示中,输入服务器的...
PHP中使用OpenSSL生成证书及加密解密
10-20
在介绍PHP中使用OpenSSL生成证书及加密解密的知识点之前,需要了解OpenSSL扩展在PHP中的应用前提。首先,确保PHP已经安装并启用了OpenSSL扩展。对于Windows服务器,可能需要单独下载并安装OpenSSL相关的DLL文件;而...
Java如何基于command调用openssl生成私钥证书
08-18
接下来,我们可以使用以下代码来生成证书请求: ```java String[] cmdCertificationReq = {"cmd", "/C", "C:\\soft\\OpenSSL-Win64\\bin\\openssl.exe req -new -key ca.key -out ca.csr -subj /C=CN"}; runCMD...
openssl命令操作证书实例
09-06
在我们的实例中,我们将创建一个简单的多级证书。这个过程通常包括以下几个步骤: 1. **创建根CA证书**:使用`openssl req`命令生成私钥和自签名的根CA证书。这一步需要配置文件`openssl.cnf`,其中定义了证书的...
openSSL 生成证书 (三级_证书) linux
AAugust的博客
10-22 4156
生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书并导出根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书...
使用openssl创建三级带时间戳扩展证书的方法
student_zz的博客
06-06 1691
使用openssl创建三级带时间戳扩展证书的方法     直接进入主题,首先先下载好openssl,下载地址https://www.openssl.org/source/。具体看下图:         至于openssl的安装网上有很多教程,查一下就好了,你只要保证安装好它就行...
[教程]openssl证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
qq_29820307的博客
06-22 3305
生成证书 注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048 #生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密...
openssl生成v3_使用OpenSSL生成自签名证书
weixin_39541227的博客
12-22 460
虽然说都8102年了,Let’s Encrypt都支持通配符证书了,但是对我这种不想再去买个域名来给我内网的机器做证书的人来说,用自签名证书当然是最好的方式了。使用OpenSSL做自签名证书的教程网上一搜一把,但是搜出来的那些生成证书居然都在Firefox下无法通过。究其原因,是没有设置subjectAltName惹的祸。这里给一个生成脚本,让你一键(其实并没有)生成自签名的SSL证书。注意使用...
openssl 进行创建私有CA并自签,发证,吊销证书
刘东义的博客
01-26 3439
一,创建私有CA(我使用的是192.168.10.2的服务器)自签:    openssl的配置文件: cat  /etc/pki/tls/openssl.cnf dir             = /etc/pki/CA  真正的工作目录 certs           = $dir/certs   已经签发的CA证书 crl_dir         = $dir/crl      ...
证书吊销列表
HardElm的博客
01-10 1256
证书吊销信息 常规包括: 版本 颁发者 生效日期 下次更新的时间 签名算法:sha1RSA等 签名的哈希算法:sha1等   吊销列表内容:
联盟系列 - 用Openssl管理CRL
搬砖魁首的博客
11-29 3704
CRL(Certificate revocation lists) CRL证书吊销列表, 用于验证数字证书有效性. 数据证书在有效期内是无法强制撤销的, 只能通过将它们添加到适当的CRL中来撤销它们。 可往CRL中添加中间或根证书,也可增加特指的某个X509证书 修改中间CA的配置文件 指定用于展示CRl的PEM文件的网址 [ server_cert ] # ... snipped ... crlDistributionPoints = URI:http://example.com/intermediat
openssl生成证书 p12
08-01
要使用openssl生成证书p12文件,可以按照以下步骤进行操作: 1. 首先,生成根CA证书并自签。可以使用openssl genrsa命令生成私钥,然后使用openssl req命令生成证书请求,最后使用openssl x509命令自签发证书。 2. 接下来,生成二级CA证书并使用根CA证书签发。同样,使用openssl genrsa命令生成私钥,使用openssl req命令生成证书请求,然后使用openssl ca命令使用根CA证书签发二级CA证书。 3. 然后,生成服务器证书并使用二级CA证书签发。使用openssl genrsa命令生成私钥,使用openssl req命令生成证书请求,最后使用openssl ca命令使用二级CA证书签发服务器证书。 4. 接下来,制作CA证书。可以使用openssl命令将根CA证书和二级CA证书合并成一个文件。 5. 然后,将证书打包为p12文件。使用openssl pkcs12命令将服务器证书和私钥合并成p12文件。 综上所述,可以使用openssl命令生成证书p12文件。具体的命令和步骤可以参考引用[1]和引用[2]中提供的信息。请注意,使用openssl x509和openssl ca命令生成证书的差别在于配置文件的使用,具体选择哪种方式取决于需求和使用场景。参考引用[3]中的信息可以更好地理解这两种方式的差异。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值