使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书

最新推荐文章于 2024-05-20 14:18:18 发布
最新推荐文章于 2024-05-20 14:18:18 发布
阅读量3k 收藏 10
点赞数 2
文章标签: openssl ca证书
原文链接:https://liaoph.com/openssl-san/;https://zhuanlan.zhihu.com/p/34788439
版权
  1. 准备好目录
    在这里插入图片描述
    serial文件中要填一个00进去
  2. 生成 CA
    2.1 生成私钥
openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem

2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由

openssl.cnf 中配置的扩展字段指定为 CA 证书类型

openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha256 -extensions v3_ca -out certs/ca.cert.pem

需要输入各项信息。由于是 CA 根证书, Common Name 字段不需要为域名。这里使用的 localhost
生成后即可将 certs/ca.cert.pem 安装于客户端操作系统/浏览器中作为受信任的跟证书颁发机构,由此 CA 签署的证书均会被客户端信任
  1. 生成服务器密钥
    3.1 生成私钥
openssl ecparam -genkey -name secp256r1 | openssl ec -out private/stf.key.pem

 与 CA 私钥生成方法相同
 生成证书请求文件

openssl req -config openssl.cnf -new -key private/stf.key.pem -out certs/stf.csr.pem

填写证书相关信息,这里 Common Name 字段需要为证书域名。需要提前在 openssl.cnf 中编辑好 subjectAltName 以保证证书扩展字段中 DNS 可选域名正确。

3.2 使用 CA 签发服务器证书

openssl ca -config openssl.cnf -extensions server_cert -days 1095 -md sha256 -in certs/stf.csr.pem -out certs/stf.cert.pem

需要提前在 openssl.cnf 中编辑好 subjectAltName 以保证证书扩展字段中 DNS 可选域名正确。
  1. 使用 openssl 生成带有 SAN 扩展的证书请求文件(CSR)
    4.1 找到 [ req ] 段落,加上下面的配置
req_extetions = v3_req

这段配置表示在生成 CSR 文件时读取名叫 v3_req 的段落的配置信息,因此我们再在此配置文件中加入一段名为 v3_req 的配置:

[ v3_req ]
# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

这段配置中最重要的是在最后导入名为 alt_names 的配置段,因此我们还需要添加一个名为 [ alt_names ] 的配置段:

[ alt_names ]
DNS.1 = www.ustack.in
DNS.2 = www.test.ustack.com

这里填入需要加入到 Subject Alternative Names 段落中的域名名称,可以写入多个。
接着使用这个临时配置生成证书:

openssl req -new -nodes -keyout ustack.key -out ustack.csr -config ./ca/openssl.cnf

在这里插入图片描述
查看证书请求文件的内容:

openssl req -text -noout -in ustack.csr

可以看到此证书请求文件中会包含 Subject Alternative Names 字段,并包含之前在配置文件中填写的域名。
  1. 使用 openssl 签署带有 SAN 扩展的证书请求
    5.1 假设使用本机作为子签署 CA 对此证书请求进行签署,签署的方式为:
openssl ca -policy policy_anything -out ustack.crt -config ./ca/openssl.cnf -extensions v3_req -infiles ustack.csr

签署后,查看证书的内容:

openssl x509 -text -noout -in ustack.crt

附上openssl.cfg

[ ca ]
# `man ca`
default_ca = CA_default

[ CA_default ]
# Directory and file locations.
dir               = ./ca#这里改成实际目录
certs             = $dir/certs
crl_dir           = $dir/crl
new_certs_dir     = $dir/newcerts
database          = $dir/index.txt
serial            = $dir/serial
RANDFILE          = $dir/private/.rand

# The root key and root certificate.
private_key       = $dir/private/ca.key.pem
certificate       = $dir/certs/ca.cert.pem

# For certificate revocation lists.
crlnumber         = $dir/crlnumber
crl               = $dir/crl/ca.crl.pem
crl_extensions    = crl_ext
default_crl_days  = 30

# SHA-1 is deprecated, so use SHA-2 instead.
default_md        = sha256

name_opt          = ca_default
cert_opt          = ca_default
default_days      = 375
preserve          = no
policy            = policy_strict

[ policy_strict ]
# The root CA should only sign intermediate certificates that match.
# See the POLICY FORMAT section of `man ca`.
countryName             = match
stateOrProvinceName     = match
organizationName        = match
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ policy_anything ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ policy_loose ]
# Allow the intermediate CA to sign a more diverse range of certificates.
# See the POLICY FORMAT section of the `ca` man page.
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

[ req ]
# Options for the `req` tool (`man req`).
default_bits        = 2048
distinguished_name  = req_distinguished_name
string_mask         = utf8only

# SHA-1 is deprecated, so use SHA-2 instead.
default_md          = sha256

# Extension to add when the -x509 option is used.
x509_extensions     = v3_ca

req_extensions = v3_req

[ req_distinguished_name ]
# See <https://en.wikipedia.org/wiki/Certificate_signing_request>.
countryName                     = Country Name (2 letter code)
stateOrProvinceName             = State or Province Name
localityName                    = Locality Name
0.organizationName              = Organization Name
organizationalUnitName          = Organizational Unit Name
commonName                      = Common Name
emailAddress                    = Email Address

# Optionally, specify some defaults.
countryName_default             = CN
stateOrProvinceName_default     = China
localityName_default            =
0.organizationName_default      = zhihu
#organizationalUnitName_default =
#emailAddress_default           =

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = zhihu.com
DNS.2 = *.zhihu.com
DNS.3 = localhost

[ v3_ca ]
# Extensions for a typical CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ v3_intermediate_ca ]
# Extensions for a typical intermediate CA (`man x509v3_config`).
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true, pathlen:0
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

[ usr_cert ]
# Extensions for client certificates (`man x509v3_config`).
basicConstraints = CA:FALSE
nsCertType = client, email
nsComment = "OpenSSL Generated Client Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, emailProtection

[ server_cert ]
# Extensions for server certificates (`man x509v3_config`).
basicConstraints = CA:FALSE
nsCertType = server
nsComment = "OpenSSL Generated Server Certificate"
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
keyUsage = critical, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth
subjectAltName = @alt_names

[ crl_ext ]
# Extension for CRLs (`man x509v3_config`).
authorityKeyIdentifier=keyid:always

[ ocsp ]
# Extension for OCSP signing certificates (`man ocsp`).
basicConstraints = CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer
keyUsage = critical, digitalSignature
extendedKeyUsage = critical, OCSPSigning

以上大部分内容来自网上,其中根据自身情况做了调整
https://liaoph.com/openssl-san/
https://zhuanlan.zhihu.com/p/34788439

qurmytywl
关注
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1420
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CA签CSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
java 证书缺乏扩展项_证书签发与 SubjectAltName 扩展项
weixin_42120563的博客
01-13 1382
subjectAltName 在 RFC 5280 4.2.1.6. 中提供了详细的说明,subjectAltName 是 X.509 version 3 的一个扩展项,该扩展项用于标记和界定证书持有者的身份。在 X.509 格式的证书中,一般使用 Issuer 项标记证书的颁发者信息,该项必须是一个非空的 Distinguished Name 名称。除此之外还可以使用扩展项 issuerAltN...
OpenSSL创建带SAN扩展的证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
使用openssl生成SAN证书
Arvin
08-12 2604
使用openssl生成SAN证书
02-HTTPS证书生成、验签 、证书
River的博客
11-11 1456
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
golang读取证书中的SubjectAlternativeNames(扩展字段)
csdn闻声即知人的博客
01-24 1801
简述 任务:在实际开发中需要使用golang读取证书SubjectAlternativeNames字段的内容。标准证书是由ASN1编码生成的,Java可以使用java.security.cert包中的X509Certificate类中getSubjectAlternativeNames()方法来提取这个扩展字段的内容。golang官方库中提供了X509这个包来实现asn1编码,其所对应的证书字段为: // A Certificate represents an X.509 certificate. t
通过SAN(Subject Alternative Name)实现证书的多域名安全访问
weixin_33946605的博客
01-26 663
在为vShield Manager创建安全证书时需要实现计算机名、完全合格域名、及IP地址的安全访问,而通过微软企业CA申请证书时默认只能实现其中之一的安全访问,此时就需要通过在Additional Attributes中添加额外的信息实现上述需求。在Additional Attributes中添加多域名及IP地址的格式为:(假如计算机名:xy ,完全合格域名:xy.abc....
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 4700
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本带扩展属性的证书 req_extensions = ...
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展项的数字证书
henter的专栏
07-28 5427
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活中,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
openssl学习笔记】SSL Server Cert制作
千里之堤
04-24 1286
openssl req -new -x509 -keyout ca.pem -out ca.crt -config openssl.cfg openssl req -new -key server.pem -config openssl.cfg -out server.csr openssl ca -in server.csr -out server.crt -config openssl
iDempiete10 KeyStore 添加SubjectAlternativeNames扩展
JC有个小毛驴的 博客
04-27 1968
KeyStore 添加SubjectAlternativeNames扩展
grpc、https、oauth2等认证专栏实战3: 使用openssl制作san类型的证书
码二哥的技术池
07-18 1595
首先,找到openssl软件自带的openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
x509-subjectAltName
liudong200618的博客
03-14 1171
x509
如何使用OpenSSL生成带有SubjectAltName的自签名证书
Crystal360的博客
02-08 9996
我试图生成一个自签名证书OpenSSL with SubjectAltName in.While我生成证书的csr,我的猜测是我必须使用OpenSSL x509的v3扩展。我在用 :openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730有人可以帮我确切的语法吗?Can someone help me w...
没有匹配的证书主体别名 (Subject Alternative Name),加入no-check-certificate 即可成功安装
菜鸟先飞的博客
09-17 1990
连接到www.kernel.org不安全,使用“不检查证书” 加入no-check-certificate 即可成功安装 [root@localhost ~]# wget --no-check-certificate 'https://www.xxxxxxxxxxxxxxxxxx.com/git-2.0.5.tar.gz' 。 。 。 100%[======================================>] 4,910,412 180K/s in 36s .
【HTTPS】使用OpenSSL生成带有SubjectAltName的自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
错误解决:No subject alternative DNS name matching xxx
最新发布
m0_55615432的博客
05-20 1921
我们想要解决错误,首先需要了解这是一个什么样的错。所以网上看了一些关于证书的消息可以看出 Subject Alternative name 是用来定义多个域名、ip地址等,实现一个证书认证多个地址多个域名。参考图片如下:所以我们之前报的错,问题就在于 证书中的 DNS name 字段无法匹配 报错中的网址(也就是我打了马赛克的部分)知道了问题,我们就可以开始着手解决它。
自己做CA自签名证书生成
02-25 1669
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。 一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发的证书也会被信任。 最近做了个iOS ipa包上传下载程序,也需要使用https链接,上网查了下...
java.security.cert.CertificateException: No subject alternative DNS name matching XXX found
11-16
这个错误通常是由于SSL证书中的主题备用名称(SAN)不包含您正在尝试连接的主机名引起的。这意味着您的Java客户端无法验证SSL证书,因为它无法验证证书是否与您正在尝试连接的主机名匹配。解决此问题的方法是将证书...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值