生成自签名证书

最新推荐文章于 2024-01-23 11:21:17 发布
最新推荐文章于 2024-01-23 11:21:17 发布
阅读量501 收藏
点赞数
原文链接:https://segmentfault.com/a/1190000012244293
版权

数字证书

数字证书包含服务器名称、主机名称,签发机构的名称,签发机构的签名。如何生成自签名证书。证书的目的是简历特定密钥对与特定实体之间的联系。
自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书,证书的申请人和签发人都是同一个。
需要一对密钥对;
常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不能用DSA,只能用RSA,因为DSA不能加解密也不能做密钥交换,只能做签名;ECDSA还没有被大部分的CA支持;
生成密钥可以使用OpenSSL的genrsagendsa指令,也可以使用req指令;
证书认证请求文件(csr文件)
这是按照一定格式生成的文件,里面包含实体信息
将实体信息和公钥一起用相应的私钥签名,是CA(证书认证)能确认这些信息是用户发送的(证书请求中的公钥拿出来验证这个证书请求的签名)
通过OpenSSL的req指令填写和生成这个csr文件
不同的CA要求,可能需要更改默认的配置文件openssl.cnf
将证书请求文件(csr文件)给CA签发
验证证书请求上的签名是否正确,确保公钥对应的私钥就在申请者手中并且申请信息是正确没被更改的
CA对某些字段信息可能有特殊的要求,比如要求国家,身份等信息要求跟CA本身设定的一样
如果CA是在OpenSSL指令的基础上,那么它使用的签发指令可能是ca,也可能是x509

如何生成一个简单的自签名证书

方法一:生成一个自签名的根证书

openssl req -new -x509 -newkey rsa:1024 -out server.crt

方法二:

openssl genrsa -out server.key 1024
openssl req -new -x509 -key server.key -out server.crt

方法三:

openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl x509 -req -in server.csr -out server.crt

几个重要的命令详解

req命令

req指令既可以直接生成一个新的自签名证书,也可以根据现有的证书请求和其相应私钥生成自签名根证书。如果是根据现有证书请求生成自签名根证书,那么一定要-key选项指定相应的私钥指令才能执行成功。
req 指令也可以生成密钥对,但在使用req 同时生成密钥对是对密钥对保存和格式有限制(只能是PEM编码,DES3-CBC模式加密)。如果需要更灵活的处理,可以使用genrsa或者gendsa先生成密钥然后使用-key选项指定。
参数选项
-new 指定执行生成新的证书请求,此时会忽略-in 指定的内容
-x509 根据现有的证书请求生成自签名根证书(要求使用-key指定证书请求里面的公钥相应的私钥,以便对自签名根证书进行签名)
-key 指定输入的密钥,如果不指定此选项会根据-newkey选项的参数生成密钥对
-newkey 指定生成一个新的密钥对,只有在没有-key 选项的时候才生效,参数形式为rsa:numbits 或者 dsa:file
-subj直接从指令行指定证书请求的主体名称,格式为/分割的键值对字符串,如果没有此选项,那么会弹出交互提示;
-days 设定了生成的自签名根证书的有效期,单位为天;该选项只有在使用了-x509选项生成自签名证书的时候才生效,默认为30天。
-config 指定req指令在生成证书请求的时候使用的OpenSSL配置文件,一般默认为openssl.cnf
-extensions 选项指定了生成自签名根证书的时候使用的扩展字段,其参数为OpenSSL配置文件中的某个字段名
-reqexts 选项指定了生成证书请求是使用的扩展字段,该字段参数也是配置文件中的某个字段名
-text 让指令输出证书请求或者自签名根证书内容的明文解析,默认情况下,它将输出所有可能输出的内容,如果使用了reqopt选项,则输出内容取决于reqopt选项
-reqopt 指定text 选项输出的内容,可以为多个,每个之间使用,分隔
set_serial指定生成的自签名根证书的序列号,默认情况下生成的自签名根证书序列号是0;该选项也只有在生成自签名根证书的时候有效。
-keyout 置顶新生成的私钥的输出(仅在使用了-newKey -new 选项导致生成新密钥对的时候才有效,如果使用了-key则此选项被忽略)
-keyform 指定输入密钥的编码格式(比如PEM,DER,PKCS#12,Netscape,IIS SGC,Engine等)
-in 指定输入证书请求文件,如果使用了-new 或者 -newkey选项,此选项被忽略
-inform 指定输入证书请求文件的编码格式(比如PEM,DER)
-out 指定输出证书请求文件或自签名证书文件
-noout 使用此选项后,指令将不会输出编码的证书请求或者自签名根证书到-out选项指定的文件中,一般用来测试指令或者查看证书请求的信息
-outform 指定输出证书请求文件或自签名证书的编码格式(比如PEM,DER)
-pubkey 使用此选项活 指令将输出PEM编码的公钥到-out选择指定的文件中,默认情况下只输出私钥到-keyout指定的文件,并不输出公钥。
-passin 指定读取-key 选项指定的私钥所需要的解密口令,如果没有指定,私钥又有密钥的话,会弹出交互提示
-passout 指定-keyout 选项输出私钥时使用的加密口令
-nodes 表示不对私钥进行加密,如果指定此选项,则忽略-passout指定的口令;如果没有此选项,却指定了-passout则会有交互提示。
-digest 指定生成证书请求或者自签名根证书是使用的信息摘要算法,一般在生成数字签名的时候使用。
-verify 使用此选项对证书请求中的数字签名进行验证操作,并给出失败或者成功的提示信息,其验证的过程是从证书请求里面提取公钥,然后使用该公钥对证书请求的数字签名进行验证。
如果没有-key选项也没有-newkey选项,则会根据openssl.cnfreq字段的default_bits选项的参数,生成一个RSA密钥
如果没有使用-nodes选项,并且生成了新的私钥,私钥会被输出到-keyout指定的文件中时将被以DES3的CBC模式加密。

ca指令

ca指令模拟一个完整的CA服务器,它包括签发用户证书,吊销证书,产生CRL及更新证书库等管理操作
-config 指定要使用的配置文件,如果没有此选项,则会先查找OPENSSL_CONF或者SSLEAY_CONF定义的文件名,如果这两个环境变量都没有定义,就使用OpenSSL安装的默认路径,一般是/usr/local/openssl/openssl.cnf,具体看安装配置
-startdate 设置证书的生效时间 格式为YYMMDDHHMMSSZ指定年月日时分秒,如果没有则使用主配置文件中的default_startdate
-enddate 格式跟-startdate一样
-days 设置证书的有效天数,生效时间到到期时间之间的天数,如果使用了-enddate,此选项被忽略
-name 指定配置文件中CA选项的名称
-notext 不输出明文信息到证书文件
-subj直接从指令行指定证书请求的主体名称,格式为/分割的键值对字符串,如果没有此选项,那么会弹出交互提示;
-cert 参数是一个可以包含路径的文件名,该文件是一个PEM编码的X.509证书文件
-keyfile 参数是一个包含路径的文件名,文件格式可以为PEM,DER,PKCS#12,Netscape,IIS SGC,Engine,但需要通过-keyform指定到底是哪种格式
-policy 指定CA的匹配策略
-extensions 指定x509 v3扩展字段的字段名,如果没有这个选项就由-extfile中内容
-extfile 指定x509 v3扩展的配置文件,如果没有-extensions字段,则由CA主配置文件中的x509_extensions选项指定
-in 指定一个可以包含路径的证书请求文件名,应该是PEM变得PKCS#10格式的证书请求
-infiles指定一系列包含PEM编码证书请求的文件,包含多个,只能作为指令的最后一个选项,其后的参数都被认为是证书请求文件
-out 选项指定了输出签发好的证书或者新生成的CRL的文件,如果没有使用-notext选项,那么证书的明文信息也会输出到-out选项指定的文件中
-outdir选项指定了新生成的证书的输出目录,默认输出到newecerts目录,并使用.pem作为后缀,都是PEM编码。

x509指令

x509指令能已各种方式显示一个证书的内容,也可以对一个证书的格式进行转换,还可以签发证书
-in
-inform
-out
-outform
-keyform
-CA 指定签发证书或者转换证书格式的时候需要的CA证书文件
-CAkey 指定签发证书或者转换证书格式时需要的CA证书对应的私钥文件路径
-CAform 指定CA证书文件的格式
-CAkeyform 私钥文件格式
-startdate
-enddate
-pubkey
-noout
crl指令
crl指令用于显示、处理和验证CRL文件信息
-in
-inform
-out
-outform
-noout

生成私钥

openssl genrsa -out server.key 1024

生成ca证书

需要自己扮演ca机构给自己签名,所以首先生成ca证书

openssl genrsa -out ca.key 1024 ---- 生成ca私钥
openssl req -new -key ca.key -out ca.csr ---- 根据私钥生成请求文件
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ---- 根据请求文件生成证书

生成签名请求文件

openssl req -new -key server.key -out server.csr

利用ca证书和私钥生成带有ca签名的证书

openssl x509 -req -CA ca.crt -CAKey ca.key -CAcreateserial -in server.csr -out server.rt
weixin_34417200
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
https自签名ssl证书生成流程
DavidLiu的博客
05-04 1429
https自签证书生成,适用于电脑和安卓手机
签名生成证书
Gowind001的专栏
11-03 487
[root@vm-centos ssl]# openssl req -x509 -nodes -newkey rsa:2048 -keyout server-key.pem -out server-crt.pem -days 365 Generating a 2048 bit RSA private key ...+++ .........................................
生成签名证书生成证书和秘钥
技术分享
07-12 4864
SSL- Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.......
OpenSSL 生成签名证书
weixin_51715424的博客
10-19 3462
Nginx
Windows 安装 OpenSSL 生成签名证书
最新发布
my的博客
01-23 2437
Cer证书只包含公钥信息,如果客户端与网站通信时需要用到私钥(基本所有需要数字证书的网站都会用到私钥),则cer证书是无法正常访问网站的,网站会提示“该页要求客户证书”。由于cer证书只包含公钥信息,一般只能用于解密使用(解密该公钥对应的私钥加密的数据)。在申请证书的机器上存储了私钥信息,因此,可以把CER证书导入为PFX证书,并可以把PFX证书导出,这样其他机器就可以安装PFX证书了。Pfx证书既可以导出为pfx证书,也可以导出为cer证书
使用OpenSSL生成/签发证书步骤
xiejianweifdd的博客
08-27 4329
openssl 证书签名 私有CA
签名证书
我的LOG
04-01 308
Unable to load config info from /usr/local/ssl/openssl.cnf 解决:Set OPENSSL_CONF=D:\ToolExe\openssl\bin\openssl.cnf key的生成 openssl genrsa -des3 -out root.key 2048 #这样是生成rsa私钥,des3算法,openssl格式,2048位强度。 # root.key是密钥文件名 openssl rsa -in root.key -out no_pw_r
certgen:一步生成签名证书
07-12
出于莫名其妙的原因,安全界似乎认为创建自签名证书是一个涉及大量咒语和中间文件的神秘的多步骤过程是一种资产——​​而大多数时候你只是在创建一个自签名证书—— Web 服务器的签名证书,如果您想要一个实际可信...
使用openssl生成签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
ssl自签名证书生成(v1)
01-07
### SSL自签名证书生成详解 #### 一、概述 在网络安全通信中,SSL(Secure Sockets Layer)证书扮演着至关重要的角色,它用于确保客户端与服务器之间的数据传输安全。自签名证书是一种特殊的SSL证书,由证书所有者...
生成签名证书工具,发布本地https服务用
06-21
生成签名证书工具,发布本地https服务用
node-x509-keygen:node.js模块通过openssl生成工具生成签名证书
05-26
节点-x509-keygen node.js模块,以通过openssl生成工具生成签名证书。 可以使用程序包为节点完成此操作,但是更新速率似乎不高。 相反,此代码基于@ericvicenti的。执照许可证。 自由地得到你,自由地给予。 特此...
OpenSSL生成签名证书
weixin_52582672的博客
11-09 1321
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成签名证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
OpenSSL-基于IP或域名生成签名证书脚本
念舒C.ying
05-15 2906
创建自签名证书,在执行此命令时,您可以使用-days选项来指定证书的有效期。在上述示例中,证书的有效期为10年(3650天)。如果您想要更长期的有效期,可以将该值增加
openssl生成签名证书流程
zhiboqingyun的博客
02-21 1548
1 数字证书概念 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书
生成SSL/TLS 自签名证书
青鸟飞鱼
08-30 1308
可通过以下两种方式获取相关 SSL/TLS 证书:自签名证书:即使用自己签发的证书,由于自签名证书存在较多的安全隐患,因此只建议用于测试验证环境。申请或购买证书:您可以向 Let’s Encrypt (opens new window)或华为云、腾讯云等云厂商申请免费证书,也可以向 DigiCert (opens new window)等机构购买收费证书。对于企业级用户,一般建议申请收费的 OV 及以上类型的证书,以获取更高等级的安全保护。
openssl生成签名证书
m0_61747530的博客
06-05 1700
openssl生成签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值