自签名证书生成过程

最新推荐文章于 2024-07-25 11:31:48 发布
最新推荐文章于 2024-07-25 11:31:48 发布
阅读量1.3w 收藏 25
点赞数 5
分类专栏: ssl 文章标签: ssl openssl keystore
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yongf_xu/article/details/85006854
版权

一 数字证书(Certificate)

在HTTPS的传输过程中,有一个非常关键的角色——数字证书,所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点:

  • 使用数字证书能够提高用户的可信度
  • 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密
  • 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上
  • X.509证书包含三个文件:key,csr,crt。
  • key是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密
  • csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名
  • crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息

备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

二 使用Openssl生成自签名证书

1 生成服务器端的私钥(key文件)

openssl genrsa -des3 -out server.key 1024

  1. 说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。
  2. 注意:生成私钥,需要提供一个至少4位的密码,,此密码用于加密key文件(参数des3是加密算法,也可以选用其他安全的算法),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果不要口令,则可用以下命令去除口令:openssl rsa -in server.key -out server.key

2 生成服务器端证书签名请求文件(csr文件)

openssl req -new -key server.key -out server.csr

  1. 说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。如下:
  • Country Name (2 letter code) [AU]:CN
  • State or Province Name (full name) [Some-State]:china
  • Locality Name (eg, city) []:xiamen
  • Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
  • Organizational Unit Name (eg, section) []:media
  • Common Name (e.g. server FQDN or YOUR name) []:xxx.com
  • Email Address []:xxx@xxx.com

3 生成CA证书文件

server.csr与client.csr文件必须有CA的签名才可形成证书.

3.1首先生成CA的key文件:

openssl genrsa -des3 -out ca.key 1024

3.2 生成CA自签名证书:

openssl req -new -x509 -key ca.key -out ca.crt -days 3650 

  1. 说明:需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写自己的名字或者域名,如果要支持https,Common Name应该与域名保持一致,否则会引起浏览器警告。如下:
  • Country Name (2 letter code) [AU]:CN
  • State or Province Name (full name) [Some-State]:china
  • Locality Name (eg, city) []:xiamen
  • Organization Name (eg, company) [Internet Widgits Pty Ltd]:xxx
  • Organizational Unit Name (eg, section) []:media
  • Common Name (e.g. server FQDN or YOUR name) []:xxx.com
  • Email Address []:xxx@ xxx.com

注意:此处的描述最好跟生成server.csr时一样,避免不必要的麻烦

4.利用CA证书对服务端请求文件进行签名

4.1 签名准备

为了避免“/etc/pki/CA/index.txt: No such file or directory”、“/etc/pki/CA/serial: No such file or directory”等问题,先执行下述命令

touch /etc/pki/CA/index.txt

touch /etc/pki/CA/serial

echo 01 > /etc/pki/CA/serial

4.2 生成服务端证书文件 

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

5.将server.key由PKCS#1编码改成PKCS#8无加密编码

5.1首先将server.key重命名为server1.key

mv server.key server1.key

5.2 转换

openssl pkcs8 -topk8 -inform PEM -outform PEM -in server1.key -out server.key -nocrypt

三 采用Keytool生成自签名证书

本节参考:https://blog.csdn.net/shfqbluestone/article/details/21242323

1 生成keystore以及服务器密钥对

keytool -genkeypair -alias certificatekey -keyalg RSA -validity 365 -keystore xxkeystore.jks

这条命令会在生成keystore后接着生成一个密钥对。RSA是非对称密钥算法,也可以改为 keytool支持的其他密钥算法;365代表的是证书的有效期,可以自己指定;xxkeystore.jks是keystroe的名称,也可以自己指定。在cmd命令行输入命令后会提示输入keystore的密码,接着会提示输入名字等信息。

 

  • 输入<certificatekey>的主密码,是指生成服务端证书的私钥。服务端私钥如果和keystore的相同的话,直接按回车。建议直接按回车,即服务端私钥和keystore的密码相同。如果两者的密码不相同的话在服务端可能会出现UnrecoverableKeyException: Cannot recover key的异常。
  • keytool会把生成的keystore文件默认保存到当前路径下,接下来生成的所有文件也都保存到此处。
  • 上述信息中,“您的名字与姓氏是什么?”应填写对应的域名。

2 验证新生成的keystor文件以及证书信息

keytool -list -v -keystore xxkeystore.jks

在cmd命令行输入命令后会显示出相关信息

3 导出公钥证书

keytool -export -alias certificatekey -keystore xxkeystore.jks -rfc -file xxcert.cer

其中xxcert.cer是导出证书的名称,xxkeystore.jks是1中生成的keystore 文件。

执行上面的命令会要求输入xxkeystore的密码

4 Truststore的生成以及公钥证书的导入

Keytool -import -alias certificatekey -file xxcert.cer -keystore xxtruststore.jks

其中:xxcert.cer是导出的公钥证书,xxtruststore.jks是生成的truststore的文件名。

这条命令首先会生成一个truststore,然后导入3生成的公钥证书xxcert.cer。cmd执行命令后,首先会提示输入truststore的密码.

5 验证5生成的truststore文件

keytool -list -v -keystore xxtruststore.jks

其中:xxtruststore.jks是truststore文件名。

到此为止,keystore、truststore、公钥证书都已生成完毕。

四 将.key和.crt文件转换成.jks文件

1 先使用openssl 工具 将 crt和key格式的证书转还成pfx:

 openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

其中:server.pfx (转后的pfx)mycert.key,mycert.crt( crt和key格式的证书)

注意:该步骤需要输入密码passward,该密码2与3均需要用到

2 查看证书别名

keytool -list -v -keystore server.pfx

3 在使用jdk自带的keytool将pfx格式文件转为jks:

keytool -importkeystore -srckeystore  server.pfx -srcstoretype pkcs12 -destkeystore mycert.jks -deststoretype JKS  -alias 1

其中:-alias(设置别名) mycert.jks(转还后jks) server.pfx(需转还的pfx)

注意:该步骤需要输入3次密码,均采用1中的passward。

 

yongfxu
关注
  • 5
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
快速生成签名证书
云满笔记
10-14 1463
这里写目录标题快速生成签名证书1. CA 证书2. 服务端证书3. 客户端证书4. 查看证书5. PKCS 格式证书 快速生成签名证书 生成签名证书传统工具是 OpenSSL。不过 OpenSSL 不论是其复杂的命令选项, 还是更加复杂配置都会让人头皮发麻。这里介绍一个更简单的生成签名证书的工具: certstrap, 项目地址: square/certstrap. 具体安装请参考其文档。 https://github.com/square/certstrap (go 语言写的) 1. CA 证书
java 自签名ssl证书_自签名SSL证书生成
weixin_34091081的博客
02-16 1266
自签证书虽然提示:不安全。但还是有很多的好处,所以下面先说说自签证书生成,主要使用Java JDK下的:keytool.exe2:安装完后,根据实际的路径找到keytool.exe,如我的在此路径:C:\Program Files (x86)\Java\jdk1.8.0_101\bin\keytool.exe3:生成keystore。打开命令行(cmd),去到keytool所在的路径,运行:ke...
OpenSSL生成签名证书
weixin_52582672的博客
11-09 1321
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成签名证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
探索Nginx实现自签名SSL证书生成与配置
zzzxxx520369的博客
05-11 1811
①key 私钥 = 明文--自己生成(genrsa )②csr 公钥 = 由私钥生成③crt 证书 = 公钥 + 签名(自签名或者由CA签名)④证书:server.crt文件就是证书签名:使用私钥key与公钥csr进行证书server.crt生成过程称为签名
openssl生成签名证书
m0_61747530的博客
06-05 1700
openssl生成签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
自建CA并生成签名SSL证书
AlbertS Home of Technology
11-30 4973
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
openssl生成签名证书流程
程序猿阿蛮
04-21 4818
1 数字证书概念 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书
Windows系统生成签名SSL证书
u013992330的博客
04-08 8563
1.环境准备 1.1系统环境:windows xp及以上 1.2依赖软件:openssl-0.9.8k_WIN32 2.创建证书 2.1下载openssl-0.98k_WIN32后进行解压,cmd窗口进入解压目录的bin目录中,打开openssl.exe,以下的命令均在openssl.exe中执行。 2.1.1生成私钥 使用openssl工具生成一个RSA私钥: genrsa -de...
Https自签名证书生成
qq_31947511的博客
06-17 1029
本文是由于需升级https的签名长度,做了以下记录 参考文档有: https://blog.csdn.net/PZ0605/article/details/51955839 https://blog.csdn.net/xuplus/article/details/51613883 本人电脑为MacOS系统,使用自带的openssl生成签名证书 参考以上两个链接,根据自身的情况做了一些小的修改: macos的不经过CA的证书生成:参考第一个链接 1、在cmd终端输入:openssl进入openssl,接着运
生成签名证书生成证书和秘钥
技术分享
07-12 4864
SSL- Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.......
ssl签名证书生成(v1)
01-07
### SSL签名证书生成详解 #### 一、概述 在网络安全通信中,SSL(Secure Sockets Layer)证书扮演着至关重要的角色,它用于确保客户端与服务器之间的数据传输安全。自签名证书是一种特殊的SSL证书,由证书所有者...
数字签名证书生成器IDSignMSO
04-26
数字签名证书生成器如IDSignMSO,是开发者和软件发行者的重要工具,它能够帮助他们为自己的应用程序创建合法且可信赖的数字签名。下面我们将深入探讨数字签名、IDSignMSO以及如何使用此类工具来增强软件的安全性。 ...
certgen:一步生成签名证书
07-12
出于莫名其妙的原因,安全界似乎认为创建自签名证书是一个涉及大量咒语和中间文件的神秘的多步骤过程是一种资产——​​而大多数时候你只是在创建一个自签名证书—— Web 服务器的签名证书,如果您想要一个实际可信...
Nginx配置SSL签名证书的方法
09-30
签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL签名证书。 首先,我们...
TrueLicense证书生成工具
10-11
TrueLicense提供了一个友好的图形界面,帮助用户生成签名证书或导入已有的证书证书包含了公开密钥和私有密钥,它们是许可证系统中的重要组成部分。在生成证书过程中,你需要设置证书的主体信息,如组织名、...
SSL VPN详细概述
qq_67758645的博客
07-25 856
在客户端中,可以携带这个会话,可以携带这个会话的复用票据,用于省略会话建立过程中,身份认证的环节,进协商算法和密钥即可。
SSL vpn远程接入配置实验
earthtoearth的博客
07-25 1148
127.0.0.1 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 127.0.0.1 331。255.255.255.255 255.255.255.255 在链路上 155.1.2.10 281。
mpu6050陀螺仪使用方法开发教程文档.docx
最新发布
07-30
mpu6050陀螺仪使用方法
openssl如何生成签名证书
05-21
生成签名证书需要使用到 OpenSSL 工具,下面是生成签名证书的步骤: 1.打开命令行工具,进入 OpenSSL 安装目录下的 bin 目录。 2.输入以下命令生成私钥: ``` openssl genrsa -out key.pem 2048 ``` 3.使用以下命令生成证书请求: ``` openssl req -new -key key.pem -out csr.pem ``` 在执行过程中,需要输入一些与证书相关的信息,如国家、省、城市、单位、邮箱等。 4.根据证书请求生成签名证书: ``` openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out cert.pem ``` 其中,-days 365 表示证书有效期为一年。执行完毕后,会在当前目录下生成一个 cert.pem 文件,即为生成的自签名证书。 注意:生成的自签名证书只能在本地使用,如果需要在公网上使用,则需要购买由可信任 CA 颁发的证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值