使用 OpenSSL 生成 HTTPS 证书

已于 2023-04-06 14:57:41 修改
阅读量5k 收藏 24
点赞数 2
分类专栏: os_network # mac_windows # linux 文章标签: https ssl cert tls key
于 2022-06-16 16:37:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wan212000/article/details/125318761
版权
linux 同时被 3 个专栏收录
60 篇文章 3 订阅
订阅专栏
os_network
30 篇文章 2 订阅
订阅专栏
mac_windows
20 篇文章 1 订阅
订阅专栏

目录

1. 使用 OpenSSL 生成 HTTPS 证书

1.1. 在 Linux 上生成

1.1.1. 一条命令生成

openssl req -x509 -newkey rsa:4096 -keyout key.pem -out cert.pem -sha256 -days 365 -nodes -subj "/C=US/ST=Oregon/L=Portland/O=Company Name/OU=Org/CN=www.example.com"

b3BlbnNzbCByZXEgLXg1MDkgLW5ld2tleSByc2E6NDA5NiAta2V5b3V0IGtleS5wZW0gLW91dCBjZXJ0LnBlbSAtc2hhMjU2IC1kYXlzIDM2NTAgLW5vZGVzIC1zdWJqICIvQz1VUy9TVD1DYWxpZm9ybmlhL0w9TW9ucm92aWEvTz1RdWFudGlsIE5ldHdvcmtzIEluYy4vT1U9R292L0NOPXd3dy5jaGluYS1lbWJhc3N5Lm9yZyI=

参考自这里

1.1.2. 使用配置文件生成

1.生成 HTTPS 证书思路

我们首先要生成证书颁发机构的根证书, 然后再用此证书去签发网站证书.

由于生成过程中需要输入非常多的参数, 像网站域名等, 而且不能输错, 输错不能用删除号回退, 因此我们在这里使用官方的配置文件.

由于我们需要生成 2 次, 第 1 次是生成根证书, 第 2 次是利用生成的根证书生成网站证书, 因此我们需要复制 2 份配置文件:

$ cp /usr/lib/ssl/openssl.cnf ca.cnf ia.cnf

找不到 openssl.cnf 的话, 可以使用 find 命令查找: $ find / -name openssl.cnf

2.编辑根证书配置文件 ca.cnf

默认情况下, 有些没有 _default 的需要自己加上。

countryName			= Country Name (2 letter code)
countryName_default		= CN

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Shanghai

localityName			= Locality Name (eg, city)
localityName_default	= Shanghai

0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Lenovo

organizationalUnitName		= Organizational Unit Name (eg, section)
organizationalUnitName_default	= Technology

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_default	= lenovo.com.cn

emailAddress			= Email Address
emailAddress_default	= 1@qq.com

3.编辑网站证书配置文件 ia.cnf

countryName			= Country Name (2 letter code)
countryName_default		= CN

stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Shanghai

localityName			= Locality Name (eg, city)
localityName_default	= Shanghai

0.organizationName		= Organization Name (eg, company)
0.organizationName_default	= Lenovo

organizationalUnitName		= Organizational Unit Name (eg, section)
organizationalUnitName_default	= Technology

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_default	= report.lenovo.com.cn

emailAddress			= Email Address
emailAddress_default	= 1@qq.com

备注: ca.cnfia.cnf 中的 commonName_default 不能一样, 否则 Windows 下不能安装证书, 即会授权失败. 我们这里根证书里面的是 lenovo.com.cn, 网站证书是 report.lenovo.com.cn, 两个是不一样的域名.

4.使用 OpenSSL 生成 CA 证书

CA, Certificate Authority, 即 电子商务认证授权机构.

生成 ca 的 key:

$ openssl genrsa -out ca.key 4096

生成 ca 的根证书:

$ openssl req -new -x509 -days 1826 -key ca.key -out ca.crt -config ca.cnf

5.利用 ca 根证书授权子证书

生成子证书的 key

$ openssl genrsa -out ia.key 4096

根据 key 生成 csr

$ openssl req -new -key ia.key -out ia.csr

生成授权子证书

$ openssl x509 -req -days 730 -in ia.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out ia.crt -config ca.cnf

期间会提示输入密码, 留空即可.

生成 PKCS12 证书

$ openssl pkcs12 -export -out ia.p12 -inkey ia.key -in ia.crt -chain -CAfile ca.crt

生成后, 我们需要的文件有:

  • ca.crt: CA 根证书, 这个证书我们需要在 Windows 安装
  • ca.key: CA 根证书的 key 文件, 不需要
  • ia.crt: 网站证书, 用于 Nginx 配置
  • ia.key: 网站证书的 key 文件, 用于 Nginx 配置

1.2. 在 Windows 上生成

Windows 上可以使用软件 xca, 下载地址: http://xca.hohnstaedt.de/

1.3. 使用案例

1.3.1. Nginx 配置 HTTPS 访问

首先在 default 配置文件中添加如下:

server {
	listen 443 default_server;
	listen [::]:443 default_server;

  server_name report.lenovo.com.cn;

  ssl on;
  ssl_certificate     /home/ubuntu/openssl/ia.crt;
  ssl_certificate_key /home/ubuntu/openssl/ia.key;

  root /var/www/report.lenovo.com.cn;
  index index.html;
	
	location / {
		try_files $uri $uri/ =404;
	}

}

Nginx 命令:

$ nginx -t           # 测试 nginx 配置是否正确
$ nginx -s reload    # 重启 nginx

1.3.2. Windows XP 下的测试

首先需要安装 CA 证书, 双击 ca.crt 再点击里面的 安装证书, 证书分类选择 受信任的根证书颁发机构.

安装证书成功后, 我们可以发现双击打开 ca.crtia.crt 提示证书都是安全的(绿色), 没有红色的 X 号和感叹号之类的.

发给其它机器安装时只需要发送 ca.crt 就可以了.

IE 浏览器太差了, 我们使用 Chrome 来测试, 我们选择 Chrome 最后支持 XP 的版本: Chrome 49.0.2623.75

经测试, 高版本的 Chrome 即使安装了 ca.crt 证书也会报 HTTPS 证书错误(Common Name错误), 所以为了测试顺利还是用这个版本吧.

然后打开 Chrome 访问 https://report.lenovo.com.cn/, 会看到网址前面加上了绿绿的安全符号, 成功了!

如果想删除已经安装的证书, 可以在运行中输入 certmgr.msc 来管理已经安装的证书.

1.4. 参考

云满笔记
关注
专栏目录
OpenSSL生成ssl证书
01-11
通过OpenSSL生成ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
通过openSSL生成自签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
生成自签ssl证书
kali_yao的博客
10-18 9903
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
linux 生成内网ssl证书
最新发布
张老邪的博客
08-16 221
linux环境下生成免费的ssl证书
使用OpenSSL生成SSL证书的教程
qq_42760746的博客
03-01 8625
OpenSSL是一个加密软件库或工具包,它使计算机网络上的通信更加安全,可以使用其命令来创建SSL证书OpenSSL采用apache授权许可,将工具包用于商业或非商业目的,下面就来看下CS如何利用OpenSSL命令来生成SSL证书
OpenSSL创建SSL证书
悦分享
06-03 4736
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
SSL&OpenSSL
kaichekaihanma的博客
07-21 4820
SSL ssl协议(Secure Sockets Layer安全套接层)是一套网络通信安全协议,是由网景公司在1994年创建设计的,它具有数据加密,完整性校验及身份验证功能。它的出现是为了保证网络数据传输的安全性。如果没有SSL的加持,我们在网络中传输的数据就都处在裸奔的状态。SSL协议处在应用层和传输层之间,可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议本身分为两层:上层为SSL握手协议(SSL Handshake Protocol),SSL密码变化协议(SSL change ci
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3366
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS的基本工作流程。
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
使用OpenSSL生成Kubernetes证书的介绍
09-30
在Kubernetes集群中,安全通信是至关重要的,而证书扮演着关键角色。...通过本文,你应该对如何使用OpenSSL生成Kubernetes证书有了基本的认识,这对于你的Kubernetes集群管理和运维工作将大有裨益。
使用openssl 生成免费证书的方法步骤
01-10
即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用 `openssl req` 命令来生成证书请求,然后用 `openssl x509` 命令签发证书: ```shell # 创建证书请求 openssl req -new -key ca.key -out ca.csr # 自签名CA证书 openssl x509 -req -days 3650 -in ca.csr -...
OpenSSL生成本地https测试证书
lihefei_coder的博客
12-16 7607
一、准备工作 1.本地安装好git工具 2.创建一个cert文件夹用来放证书文件 二、创建证书 第一步:使用openssl生成密钥privkey.pem 1.操作系统说明 windows系统:在cert目录中打开git命令窗口(注意:不是CMD窗口) linux或mac系统:cd定位到cert目录 cd /xxx/cert 2.然后执行以下命令生成privkey.pem openssl genrsa -out privkey.pem 1024/2038 如果出现提示:genrsa: Can’t pa
openssl 生成证书步骤
hinewcc的博客
05-08 4582
本地使用 openssl 生成证书
使用 OpenSSL 创建ssl证书
百世经纶『一页書』
07-26 4838
openssl创建ssl证书
OpenSSL创建HTTPS证书认证
cw_hello1的专栏
12-18 3630
HTTPS证书的作用是用来证明服务器的身份。总不能我说是谁就是谁把。得有一个东西证明我是谁。从而HTTPS证书就出现了。 就和现实世界一样,需要一个东西证明你是谁,而我们的身份证就是证明我们是谁的工具。
linux下生成https证书
ThinPikachu的博客
07-25 4220
linux下生成https证书
使用 openssl 生成证书
huang714的专栏
10-15 1184
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以
openssl 生成 https证书
06-07
使用 OpenSSL 生成 HTTPS 证书,可以按照以下步骤操作: 1. 打开终端或命令提示符窗口。 2. 生成私钥: ``` openssl genpkey -algorithm RSA -out server.key ``` 这将生成一个未加密的 RSA 私钥,并将其保存到名为 `server.key` 的文件中。 3. 生成证书签名请求 (CSR): ``` openssl req -new -key server.key -out server.csr ``` 在这一步中,您需要输入一些证书信息,例如组织名称、国家、地区等。请根据您的实际情况输入正确的信息。 4. 使用 CSR 文件和私钥文件生成自签名证书: ``` openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这将使用 CSR 文件和私钥文件生成一个有效期为 365 天的自签名证书,并将其保存到名为 `server.crt` 的文件中。 现在您已经生成了一个 HTTPS 证书,其中 `server.key` 包含私钥,而 `server.crt` 包含公钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

云满笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值