国密证书生成实践

最新推荐文章于 2024-04-25 15:10:37 发布
最新推荐文章于 2024-04-25 15:10:37 发布
阅读量1.7k 收藏 5
点赞数 1
文章标签: python 数据库
原文链接:http://www.cnblogs.com/mrwh/p/11558888.html
版权

实验环境:

Linux ubuntu/Centos 64
x86_64 x86_64 x86_64 GNU/Linux

 

1、根据官网说明安装gmssl

 

$ unzip GmSSL-master.zip
$ cd GmSSL-master
$ ./config no-saf no-sdf no-skf no-sof no-zuc  no-shared         #不去编译动态库,编译出来的gmssl不再依赖libssl.so
$ make
$ sudo make install

  

2、修改/usr/local/ssl/openssl.cnf配置

$ vi   /usr/local/sslopenssl.cnf

  

[ ca ]
default_ca      = CA_default            # The default ca section
[ CA_default ] #dir		= ./demoCA		# Where everything is kept 
dir		= /home/myapp/demoCA  #此处修改

  

3、初始化CA目录

1)创建根目录

$ mkdir -p  /home/myapp/demoCA
$ cd /home/myapp/demoCA

2)创建其他目录

在此路径下要创建好/usr/local/ssl/openssl.cnf中需要的certs, crl ,new_certs_dir和private_key的子目录,默认是newcerts和private

$ mkdir certs crl newcerts private

3)创建好database文件index.txt

touch index.txt 

4)创建好serial文件,并写入初始序号,如01

echo "01" > serial

4、生成国密证书步骤 

(1)生成根证书

1)生成私钥key
$ gmssl ecparam -genkey -name sm2p256v1 -text -out Root.key -config  /usr/local/ssl/openssl.cnf
2)生成证书签名请求
$ gmssl req -new -key Root.key -out Root.req -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Root/OU=Root\ Sign/CN=RootCA/emailAddress=Root@gmail.com  
-config /usr/local/ssl/openssl.cnf
3)生成根证书
$ gmssl x509 -req -days 3650 -sm3 -in Root.req -signkey Root.key -out RootCA.crt $ cp RootCA.crt demoCA/
$ cp Root.key demoCA/private/

 类似于 apache/ssl/ca.crt和apache/ssl/ca.key

(2)生成中间证书(即客户端证书)

1)生成私钥
$ gmssl ecparam -genkey -name sm2p256v1 -text -out Medium.key -config  /usr/local/ssl/openssl.cnf
2)生成客户证书请求
$ gmssl req -new -key Medium.key -out Medium.req -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Medium/OU=Medium\ Sign/CN=MediumCA/emailAddress=Medium@gmail.com  -config  /usr/local/ssl/openssl.cnf
3)签发证书
$ gmssl x509 -req -sm3 -days 3650 -CA  RootCA.crt -CAkey demoCA/private/Root.key -CAcreateserial -in Medium.req -out MediumCA.crt
4)证书验证
$ gmssl verify -CAfile RootCA.crt MediumCA.crt 
$ cp MediumCA.crt demoCA/
$ cp Medium.key demoCA/private/
5)证书转换成浏览器认识的格式 pfx
$ gmssl pkcs12 -export  -inkey Medium.key -in MediumCA.crt -out test.pfx -passin  pass:xxx -passout pass:xxx
6) 查看证书信息
PKCS转换为PEM
gmssl pkcs12 -in test.pfx -out cert.pem -nodes
转换后可查看证书信息
打印出证书的内容:
gmssl x509 -in cert.pem -noout -text
打印出证书的系列号
gmssl x509 -in cert.pem -noout -s erial
打印出证书的拥有者名字
gmssl x509 -in cert.pem -noout -subject
打印出证书的MD5特征参数
gmssl x509 -in cert.pem -noout -fingerprint

(3)生成服务器证书

  1) 生成私钥

$ gmssl ecparam -genkey -name sm2p256v1 -text -out Server.key -config /usr/local/ssl/openssl.cnf

 2) 证书请求

$ gmssl req -new -key Server.key -out Server.csr -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Server/OU=Server\ Sign/CN=ServerCA/emailAddress=Server@gmail.com -config /usr/local/ssl/openssl.cnf

3) 签发证书

$ gmssl x509 -req -sm3 -days 3650 -CA RootCA.crt -CAkey demoCA/private/Root.key -CAcreateserial -in Server.csr -out ServerCA.crt

4)证书验证

$ gmssl verify -CAfile RootCA.crt ServerCA.crt

  

 

转载于:https://www.cnblogs.com/mrwh/p/11558888.html

weixin_30677475
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
国密自签名证书生成
啊渊的专栏
05-02 4948
OpenSSL 1.1.1n 版本已经支持了国密算法。SM2、SM3、SM4所以我们使用openssl生成国密证书的时候需要先查看版本中是否已经支持了国密算法。 openssl升级 下载openssl wget --no-check-certificate https://www.openssl.org/source/openssl-1.1.1n.tar.gz 解压 tar -zxvf openssl-1.1.1n.tar.gz 编译 cd openssl-1.1.1n ./conf.
GmSSL安装国密双证制作
qq_31539845的博客
11-30 2258
在使用openssl时,发现不支持国密协议,因此找了支持的GmSSL,自己编译安装
基于openssl国密算法SM2搭建CA及颁发证书
May的专栏
08-17 6275
基于openssl国密算法搭建CA及颁发证书
nginx国密证书(gmssl)安装
最新发布
qq_44877496的博客
04-25 1072
本文档基于此安装安装若目标机无法上网,无法执行yum,可通过手动下载安装包,rpm执行安装,部分rpm安装包如下。
基于openssl国密算法生成CA、服务器和客户端证书
CHYabc123456hh的博客
07-20 2792
基于openssl国密算法生成CA、服务器和客户端证书
国密SM2签名之公私钥及证书生成
热门推荐
smli001的博客
05-16 1万+
国密SM2签章实现时,需生成SM2的公私钥并打包为证书文件。本文创建自签名CA证书并以该证书生成下发服务证书文件。
sm2证书生成(双证书
csj50的专栏
11-12 7613
国密证书证书:包括签名证书和加密证书证书需要用硬件加密机生成,用gmssl命令无法生成 其他生成国密证书网站: https://www.gmssl.cn/gmssl/index.jsp https://www.gmcert.org/ 参考资料: https://zhuanlan.zhihu.com/p/268794314 ...
国密签名和验证签名的例子
01-19
总的来说,这个例子提供了一个实践国密签名和验证的平台,有助于理解和掌握国密标准在实际应用中的工作原理。对于需要处理中国境内敏感信息的开发者来说,理解和应用国密算法是必不可少的技能。同时,它也提醒我们在...
java生成X509证书jar包
04-14
BouncyCastle库是一个强大的Java加密库,支持多种加密算法,包括国密算法,对于生成符合中国国家标准的X509证书非常有用。在这个场景中,我们不仅会讨论如何使用Java生成X509证书,还会涉及如何将其存储为PEM格式,...
openssl生成证书demo
05-14
在IT行业中,加密通信是确保数据安全的重要手段,而OpenSSL是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现工具包。...在理解和实践这些步骤后,你将能够更好地处理SSL/TLS证书相关的安全问题。
国密算法SM2公私钥加解密及签名验签以及前端js sm-crypto
12-23
其中,SM2算法是基于椭圆曲线密码学(ECC)的一种公钥加密算法,广泛应用于数字证书、数据加解密和数字签名等领域。本文将详细探讨SM2算法的原理、使用场景,以及在前端js中实现加解密和签名验签的方法,同时参考sm-...
用gmssl制作国密SM2证书
06-21
用gmssl制作国密SM2证书的方法,符合国密标准
Java生成国密cer证书
08-24
国密算法是我国自主研发创新的一套数据加密处理系列算法,很多项目都在用了,所以用Java代码生成的基于国密算法签发的sm2 证书,放到资源里面方便大家下载使用。
openssl 生成 证书
11-23
打包的一个openssl包,自己编写的一个openssl 的批处理,填写基本信息就能生成key,免去了自己繁琐的输入命令。(openssl基于apache2.2.21提取) 如果配置来使用svn的话可以参考:http://blog.csdn.net/nicaiwa/article/details/6932472
利用openssl自制CA证书
09-13
在IT领域,安全通信是至关重要的,而SSL/TLS协议是保障网络数据传输安全的基石。...此外,自行签发的证书如果被恶意利用,可能会对用户的隐私和安全构成威胁,因此在管理和分发自签名证书时,应遵循最佳安全实践
国密gmssl命令行生成SM2证书
super_SB的博客
01-13 8292
简介 最近想了解一下gmssl生成证书的流程,首先就来体验一下用指令完整证书生成操作。目前,有一些文章已经有相关的详细介绍,但还是存在一定问题,如:CA密钥名与openssl中默认的cakey.pem不一致,导致证书生成失败;等。提前安装好gmssl;查看gmssl版本指令 `gmssl version` 本文章使用的gmssl 2.5.4. ...
使用openssl合成pfx格式证书国密证书
qq_34815358的博客
06-13 1262
目前,openssl也已经开始支持国密协议,这边使用的是openssl 1.1.1k 进行的测试;
gmssl国密证书制作
viqjeee的博客
03-24 4457
gmssl国密证书制作前言gmssl制作国密证书1 配置前提环境:2 生成密钥证书3 生成用户密钥,并使用根证密钥签发用户证书4 签名证书和加密证书5 生成pfx格式证书6 查看证书 前言 国密证书,包括签名证书和加密证书,可以通过gmssl方式生成,也可以通过tassl的方式生成。 gmssl制作国密证书 gmssl 生成证书过程中会调用/usr/local/gmssl/openssl.cnf 这个配置文件,需要修改证书的信息的,可以修改该配置文件。 1 配置前提环境: mkdir de
使用gmssl生成国密证书
05-19 753
【代码】使用gmssl生成国密证书
openssl 签发国密证书
07-14
您好!要签发国密证书,您需要根据国密算法生成相关的密钥证书请求。下面是一些简要的步骤: 1. 生成国密密钥对:使用国密算法(如SM2)生成一个密钥对,包括私钥和公钥。您可以使用 OpenSSL 的 sm2param 命令来生成国密的参数,然后使用 genpkey 命令生成密钥对。 2. 生成证书请求:使用生成密钥生成证书请求文件(CSR),其中包含您的证书申请信息。您可以使用 OpenSSL 的 req 命令来生成 CSR 文件。 3. 提交证书请求:将生成的 CSR 文件提交给证书颁发机构(CA)进行签发。请确保选择支持国密算法的 CA,并按照其要求进行提交。 4. 验证身份:根据 CA 的要求,可能需要进行身份验证以证明您的身份和控制权。 5. 获取签发的证书:一旦您的证书请求通过审核,CA 将会签发相应的国密证书。您将收到一个包含证书的文件。 请注意,具体步骤可能因 CA 的要求而有所不同。因此,在进行国密证书签发之前,建议您先了解您选择的 CA 的具体要求和流程。 希望这些信息对您有所帮助!如有更多问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值