grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书

已于 2022-07-25 07:58:30 修改
阅读量1.5k 收藏 4
点赞数 4
文章标签: golang grpc-go multus-cni kubernetes protobuf
于 2022-07-18 07:54:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011582922/article/details/125840385
版权

已发表专栏的入口(订阅即可观看所有专栏)
0  grpc-go、protobuf、multus-cni 技术专栏 总入口

1  grpc-go 源码剖析与实战  文章目录

2  Protobuf介绍与实战 图文专栏  文章目录

3  multus-cni   文章目录(k8s多网络实现方案)

4  grpc、oauth2、openssl、双向认证、单向认证等专栏文章目录

创建SAN类型的证书,就是在普通的证书里,添加上Subject Alternative Name属性。

Subject Alternative Name的简写就是SAN

1、创建SAN证书的两种方式

  • 通过自定义配置文件openssl.cnf
  • 通过命令行方式

2、方式一:通过自定义openssl.cnf方式

2.1、自定义openssl.cnf

2.1.1、根据模板openssl.cnf 创建openssl.cnf

首先,找到openssl软件自带的openssl.cnf的文件路径, (centos系统)

在这里插入图片描述

拷贝到指定目录下

cp /etc/pki/tls/openssl.cnf .

在这里插入图片描述

2.1.2、开始设置SAN

打开新创建的openssl.cnf

  • 设置copy_extensions
    在这里插入图片描述
  • 设置req_extensions
    在这里插入图片描述
  • 设置subjectAltName
    在这里插入图片描述

2.2、创建证书签名文件csr

  • 创建一个证书密钥
    openssl genrsa -out server.key 2048
    在这里插入图片描述

  • 根据证书密钥创建证书签名

    openssl req -new -nodes -key server.key -out server.csr -days 365 -subj "/C=CN/ST=beijing/L=beijing/O=tt/OU=dd/CN=golang-learning" -config ./openssl.cnf -extensions v3_req

    在这里插入图片描述

    openssl req -new -nodes -key server.key -out server.csr -days 365 -subj "/C=CN/ST=beijing/L=beijing/O=tt/OU=dd/CN=golang-learning" -config ./openssl.cnf -extensions v3_req -extendedKeyUsage "serverAuth,clientAuth"

  • 查看生成的证书签名CSR, server.csr

    openssl req -noout -text -in server.csr

    在这里插入图片描述

2.3、利用根证书ca.crt,证书签名server.csr,来生成证书

2.3.1、先创建一个根证书ca.crt

openssl req -newkey rsa:2048 -nodes -keyout ca.key -x509 -days 365 -out ca.crt -subj "/C=CN/ST=beijing/L=beijing/O=tt/OU=dd/CN=golang"

在这里插入图片描述

2.3.2、利用根证书ca.crt, 证书签名server.csr来创建证书server.crt

openssl x509 -req -days 365 -in server.csr -out server.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extfile ./openssl.cnf -extensions v3_req

在这里插入图片描述

2.4、查看server.crt证书里是否有SAN属性

openssl x509 -in server.crt -noout -text

在这里插入图片描述

3、方式二:通过命令行方式

可以直接通过命令行方式来生成SAN类型的证书,

即在openssl.cnf文件里面的修改通过命令行的方式设置

3.1、生成证书签名client.csr

openssl req -newkey rsa:2048 -nodes -keyout client.key \
    -subj "/C=CN/ST=beijing/L=beijing/O=tt/OU=dd/CN=golang-study" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:*.org.golang.com,DNS:*.www.golang.com")) \
    -out client.csr

在这里插入图片描述

查看证书签名里,是否有SAN请求信息

openssl req -noout -text -in client.csr

在这里插入图片描述

备注:
如果需要支持IP地址的话,可以参考下面的形式:

openssl req -newkey rsa:2048 -nodes -keyout client.key \
    -subj "/C=CN/ST=beijing/L=beijing/O=tt/OU=dd/CN=golang-study" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:*.org.golang.com,DNS:*.www.golang.com,IP:10.211.55.10,IP:10.211.55.11")) \
    -out client.csr

在命令行模式下,
语法形式是:

subjectAltName=DNS:*.org.golang.com,DNS:*.www.golang.com,IP:10.211.55.10,IP:10.211.55.11

分隔符为逗号,
存在相关的key都是DNS, IP

如果是配置文件形式:

在这里插入图片描述

最终效果形式:

在这里插入图片描述

3.2、利用根证书ca.crt, 证书签名client.csr来生成证书client.crt

openssl x509 -req -days 365 \
  -in client.csr -out client.crt \
  -CA ca.crt -CAkey ca.key -CAcreateserial \
  -extensions SAN \
  -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:*.org.golang.com,DNS:*.www.golang.com"))

或者

openssl x509 -req -days 365 -in client.csr -out client.crt -CA ca.crt -CAkey ca.key -CAcreateserial -extensions SAN  -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:*.org.golang.com,DNS:*.www.golang.com"))

在这里插入图片描述

查看生成的证书里,是否包含了SAN信息

openssl x509 -in client.crt -noout -text

在这里插入图片描述

下一篇文章

  数字签名的基本流程介绍

码二哥
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9054
为什么80%的码农都做不了架构师?>>> ...
使用Openssl生成域名(SAN)csr文件证书
runningcode的博客
04-21 4505
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本带扩展属性的证书 req_extensions = ...
使用openssl生成SAN证书
Arvin
08-12 2421
使用openssl生成SAN证书
gRPC教程 — 第二章_grpc的客户端使用openssl加密,2024年最新微信小程序的事件处理
2401_84252932的博客
04-13 810
正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1315
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
SANs证书生成
Matthew__M的博客
06-08 1855
证书
grpc-demo:java版grpc 示例,使用拦截器实现了token认证
05-16
【标题】:“grpc-demo:java版grpc 示例,使用拦截器实现了token认证” 在这个项目中,我们探讨的是如何在Java中利用gRPC框架实现基于JWT(JSON Web Token)的token认证gRPC是一种高性能、开源的通用RPC框架,它...
Secure_gRpc:gRPC和ASP.NET Core 5的安全性实验
05-28
2019-12-17:更新至.NET Core 3.1,已修复证书 2019-09-14:更新了nuget包 2019-09-07:添加Grpc.Net.Client 2019-09-06:更新了Nuget程序包,.NET Core 3预览版9 2019-08-13:更新了Nuget程序包,.NET Core 3...
grpc 实现oauth ssl
10-28
2. **OAuth2认证**:OAuth2用于授权,而gRPC提供了一种机制来实现OAuth2认证。在gRPC服务端,你可以创建一个拦截器,检查每个请求的OAuth2令牌的有效性。客户端则需要在请求中携带这个令牌,通常通过HTTP头部的`...
go-grpc-gateway-v2-microservice:使用 Go + gRPC-Gateway 实战小程序登录鉴权微服务
04-06
在本项目"Go-grpc-gateway-v2-microservice"中,我们将深入探讨如何使用Go语言结合gRPC-Gateway V2来构建一个实战中的微服务,特别是针对登录鉴权功能。gRPC-Gateway是一个工具,它允许我们为gRPC服务提供RESTful ...
2gRPC2gRPC2gRPC2gRPC
最新发布
04-22
gRPC中,服务定义使用Protocol Buffers(protobuf)语言,这是一种轻量级的数据序列化协议,可以生成多种编程语言的接口定义,包括Java、Python、C#、Go等。通过protobuf定义的服务接口,gRPC能够自动生成客户端和...
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 640
使用openssl生成SAN证书 多个注意点
最简单的openssl 证书生成
weixin_43863441的博客
05-03 193
最简单的openssl证书生成方式 openssl genrsa -out 1.key 1024 openssl req -new -key 1.key -out 1.csr openssl x509 req -days 3650 -in 1.csr -signkey 1.key -out 1.crt
openssl命令生成证书使用证书签名工作证书
chali1314的博客
09-08 4144
建立根证书流程如下: //生成私钥,产生CARoot.key文件,需要输入私钥保护口令 openssl genrsa -des3 -out CARoot.key 2048 //生成证书请求,需要输入CARoot.key私钥保护口令。根据提示输入:国家、省份、组织名、邮箱、等信息。最后生成CARoot.csr证书请求文件openssl req -new -key CARoot.key -out CARoot.csr -config openssl_root_ca.cnf //签发证书,最后生成自签..
window下生成SANs证书给ingress用
weixin_41020960的博客
12-12 489
openssl下载地址:http://slproweb.com/products/Win32OpenSSL.html下载指定版本exe安装。
OpenSSL生成自签名证书
啄慕鸟
08-02 440
1.密钥对 openssl genrsa -des3 -out gisportal.key 2048   2.签名请求 openssl req -new -key gisportal.key -out gisportal.csr -subj "/C=CN/ST=GuangXi/L=NanNing/O=Esri/OU=IT/CN=gisportal.nns.gx"   3.签名 op
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 4082
openssl 证书 自签名 私有CA
生成ssl自签证书
qq_27314963的博客
08-28 290
生成ssl自签证书
SAN SSL证书是什么?有什么作用
SSL加密技术
05-06 582
SSL证书使用公共密钥基础结构,该结构使用私有和公共密钥来确保服务器与访问者的浏览器之间的加密通信。它可以防止对服务器的任何未经授权的访问,从而保护所存储的客户数据。SSL证书类型较多,这里主要介绍一下SAN SSL证书是什么及其作用。 SAN SSL证书使您可以通过在注册时添加到SAN字段来确保域名和子域,本地主机名和IP地址的安全性,证书的安装过程和管理也更易于管理,也就是我们常说的多域名SSL证书。 一台服务器不允许安装多个SSL证书,如果有多个不同的域名需要保护则可以选择SAN SSL证书。S
Kubernetes中的证书工作机制详解
11-29
解释了Kubernetes中的证书工作机制,工作原理,如何制作等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码二哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值