自己作为CA签署SSL证书

已于 2022-02-11 16:06:01 修改
阅读量2.2k 收藏 1
点赞数
分类专栏: 网络 搭建环境 文章标签: ssl https 网络
于 2022-02-11 15:35:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/uiop_uiop_uiop/article/details/122881628
版权

 为了解决ssl证书签名存在的问题。例如:申请免费ssl证书的时候没有办法再添加dns解析条目,vps没有进行域名备案,使得无法完成正规的ssl证书颁发。SSL自签名并不靠谱,很多浏览器也可能会不认可自签名证书。为了直接根除此问题,我们直接自己作为CA,利用自签名CA证书来签发需要的SSL证书。期间踩了不少坑,最终终于完成。

 ssl.conf

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = GB
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = England
localityName                = Locality Name (eg, city)
localityName_default        = Brighton
organizationName            = Organization Name (eg, company)
organizationName_default    = Hallmarkdesign
organizationalUnitName            = Organizational Unit Name (eg, section)
organizationalUnitName_default    = IT
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = 【SERVER_DOMAIN_NAME_WITH:PORT_NUMBER】

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
IP.1    = 【YOUR_SERVER_PUBLIC_IP】
DNS.1   = 【SERVER_DNS_DOMAIN】

 sign.conf

subjectAltName=IP:【SERVER_IP_ADDRESS】,DNS:【DNS_NAME】

下面是具体的命令。 

cd ~
openssl rand -writerand .rnd

cd 【WORKING_DIRECTORY】

openssl genrsa -des3 -out rootCA.key 4096

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 99999 -out rootCA.crt

openssl genrsa -out server.key 2048

openssl req -new -sha256 -out server.csr -key server.key -config ssl.conf

openssl x509 -req -in server.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 99999 -sha256 -extfile sign.conf

这里以后端是flask为例。如下配置ssl证书和私钥

ssl_context = ("server.crt", "server.key")

 之后为了完成整条信任链,将rootCA.crt导入为“受信任的根证书”即可。安卓和Windows测试均成功,可以无痛访问https界面,不用443端口更换成别的端口也都一切正常,在前面【SERVER_DOMAIN_NAME_WITH:PORT_NUMBER】标注好端口就可以,比如说test.example.com:6666

 效果图:

可能在访问的时候还会遇到提示没有备案的情况,不过尝试重启了后端服务程序就好了

uiop_uiop_uiop
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自己颁发SSL证书
InJra_p的博客
05-06 2434
本机如何模拟CA机构,构建SSL证书 安装opensslOpenSSL生成SSL证书 打开openssl.exe 安装盘符>>OpenSSL-Win64>>bin>>openssl.exe 输入命令并按回车键 genrsa -des3 -out server.key 2048 此时让你输入密码 密码输入后不会显示,两次密码...
Shell脚本实现生成SSL签署证书
09-15
SSL证书用于验证服务器的身份,并确保数据传输的安全性。当使用Apache等Web服务器时,通常需要SSL证书来启用HTTPS协议。本文将深入讲解如何使用Shell脚本来生成SSL签署证书。 首先,你需要确保系统中已经安装了...
自做CA自签发SSL证书
weixin_30894389的博客
02-08 392
一、把证书准备好。步骤与使用OpenSSL自签发服务器https证书所述大同小异。在这里再重复一次。1、制作CA证书ca.key CA私钥: openssl genrsa -des3 -out ca.key 2048 Enter pass phrase for ca.key:*****    要求创建密码 制作解密后的CA私钥(一般无此必要): openssl r...
SSL Error: Hostname/IP does not match certificate‘s altnames
最新发布
weixin_54048131的博客
07-11 511
这里的添加的是域名,而非是IP地址,之后填写域名就成功了。根据大佬的文章,这里填写的是域名,域名访问就访问通了。SSL错误:主机名/IP证书的备用名不匹配。
自定义ca,并使用该ca签署证书
weixin_34006468的博客
09-28 232
http协议是互联网应用中的主要协议,从诞生至今一直被广泛的使用,我们知道http协议是明文传输的,现在的互联网安全形势严峻,使用明文传输的http协议很容易被互联网网络中的中间设备嗅探,因此在很多安全需求等级高的场景下http协议不能满足安全的需要,因此https协议诞生了。传统的http协议直接讲需要发送的数据丢给osi模型的传输层,所有的数据没有经过加密...
添加自签发的 SSL 证书为受信任的根证书
02-05 3151
通过 SSL 加密的 HTTPS 连接访问网站时,需要安装并配置一个受信任的 CA证书(Trusted CA Root Certificate)。平常访问一些加密网站之所以不需要自己安装证书,是因为系统或浏览器已经提前安装了一些受信任机构颁发的证书。但有些时候访问一些组织或个人自己签发证书的网站的时候,就会收到浏览器发出的警告。此时可以将该证书添加到“受信任的根证书颁发机构”存储区,...
自做CA自签发SSL证书 https
xinxintai的专栏
09-20 5661
SSL Created Tuesday 16 October 2012 自做CA自签发SSL证书 http://www.crsr.net/Notes/Apache-HTTPS-virtual-host.html http://wiki.cacert.org/VhostTaskForce 首先自建CA证书 对于只是测试用途或者应急的话,完全可以自己给自己签
本地生成SSL证书工具CreateCertGUICreateCertGUI
03-14
SSL证书是验证网站身份的关键工具,通常由受信任的证书颁发机构(CA)签发。然而,在本地开发环境中,我们可能需要自签发的SSL证书来测试HTTPS连接,这时就用到了"CreateCertGUI"这样的工具。 "CreateCertGUI"是一...
PKI、CASSL证书详解
04-17
### PKI、CASSL证书详解 #### 一、PKI与CA概述 **1.1 PKI(Public Key Infrastructure)简介** PKI,即公钥基础设施,是一种遵循既定标准的密钥管理平台,旨在为所有网络应用提供加密和数字签名等密码服务及其...
ssl证书生成图形化工具.zip
02-07
SSL证书通常包含网站所有者的身份信息、公钥和CA证书颁发机构)的签名。 XCA是一款开源的证书管理系统,全称为“XML Certificate Authority”。它提供了图形化的界面,使得SSL证书的生成、管理和分发变得更加简单...
自颁发SSL证书
lihongshi646951163的博客
04-03 408
1.生成RSA密钥 $openSSL genrsa-des3 -out 名称.key 1024 2.拷贝一个不需要输入密码的密钥原件 $openSSL rsa -in 名称.key -out 名称_nopass.key 3.生成一个证书请求 $openSSL req -new -key 名称.key -out 名称.csr 4.自签发证书 $openSSL x509 -req -days 3...
自签发SSL证书签发(附脚本)
jerry的博客
03-03 2990
自签发 SLL (https证书
使用openssl 配置 HTTPS,自己颁发SSL证书
cocos2dGirl的专栏
06-17 597
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(C...
SSL证书签署流程
tinysakura的博客
08-28 385
转载自灏玮的博客 用openssl生成nginx.key 1.key的生成 openssl genrsa -des3 -out server.key 2048 这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key: openssl rsa -in server.k...
自定义生成ssl证书
ss810540895的博客
03-31 988
选择自己电脑对应的版本然后下一步下一步安装完成即可。
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 1364
可通过以下两种方式获取相关 SSL/TLS 证书:自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
SSL 证书签发详细攻略
JackieJia的博客
07-18 494
自己签发免费SSL证书
自签名CA认证
qq_43157273的博客
12-11 706
自签名CA认证 用openssl命令生成自己的根证书,让用户安装信任它,之后所有用这个根证书签名的证书,就可以被信任。 生成根证书 创建文件并配置环境mkdir /root/ca cd /root/ca mkdir certs crl newcerts private chmod 700 private touch index.txt echo 1000 > serial touch openssl.cnf 先创建/root/ca文件夹,所有CA的操作都会在这个文件夹执行。 /root/ca:C
生成可信任的SSL证书
雪急飞绪博客
03-19 1854
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
手动签署SSL证书:详细步骤指南
通过自签署CA,你可以控制并签署自己的服务器证书,从而确保服务器与客户端之间的通信安全。 此外,资源标签提及了“Linux服务器配置教程”,这暗示了文档可能涵盖了更多关于服务器配置的内容,如代理服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值