openssl 生成CA及相关证书

已于 2024-03-06 16:27:39 修改
阅读量904 收藏 7
点赞数 5
分类专栏: 计算机 文章标签: ssl
于 2023-11-29 18:05:12 首次发布
禁止复制转载,可以以页面链接方式分享转载
本文链接:https://blog.csdn.net/weixin_40277264/article/details/134687956
版权

实验环境:ubuntu18.04-desktop

获取openssl.cnf配置文件

# 这个返回的路径,不一定被使用了(经测试,ubuntu18下的openssl似乎未加载任何配置文件)(该路径下的./certs/为系统信任的ca证书存储路径,但不是放在里面就信任,详见c代码使用的libcurl)
openssl version -d

生成私钥文件(pem)

# 生成私钥
# genrsa:生成RSA秘钥
# 2048:密钥长度为2048比特
# -out:私钥文件路径名
openssl genrsa -out ca_private.pem 2048
# 生成私钥,且加密
# -aes256:使用aes256对私钥进行加密
openssl genrsa -aes256 -out ca_private.pem 2048

生成根证书签发申请文件(csr)

# req:证书签发请求命令
# -new:是 req 子命令的选项之一,表示创建一个新的 CSR。
# -key:指定私钥文件。
# -out:输出文件路径名
openssl req -new -key ca_private.pem -out ca_csr.pem

签发x509证书

未指定签发者(CA)证书(自签名)

# x509:证书格式为X.509
# -req:证书签发请求命令
# -days:证书有效期(天)
# -sha1:证书摘要签名算法
# -signkey:签名使用的私钥文件
# -in:证书签发申请文件(csr文件)
# -out:输出文件路径名
openssl x509 -req -days 365 -sha1 -signkey ca_private.pem -in ca_csr.pem -out ca_x509.cer
# -extfile:使用指定配置文件(ubuntu18下似乎默认未加载配置文件)
# -extensions:使用指定扩展块(扩展块内可以指定:“basicConstraints = critical,CA:true”)
openssl x509 -req -days 365 -sha1 -signkey ca_private.pem -in ca_csr.pem -out ca_x509.cer  -extfile /etc/ssl/openssl.cnf -extensions v3_ca

指定CA签发证书

# -CA:CA机构自己的证书(也可以是多级签发时的中间CA)
# -CAkey:CA机构的私钥
# -CAcreateserial:创建证书序列号文件。该序列号在经由CA颁发的证书中是全局唯一的,可以唯一标识一个证书;创建的序列号文件默认名称为“CA证书名.srl”
openssl x509 -req -days 365 -sha1  -CA ../ca/ca_x509.cer -CAkey ../ca/ca_private.pem -in server_csr.pem -CAcreateserial -out server_x509.cer

验证证书

openssl verify -CAfile ./ca/ca_x509.cer ./server/server_x509.cer

查看证书详细信息

openssl x509 -in ./server/server_x509.cer -noout -text

PKCS#12

生成pkcs#12

# 将私钥和x509证书导出为pkcs#12格式
openssl pkcs12 -export -inkey private_key.key -in myca_computer.com.cer -out computer.p12
# 将私钥和x509证书和证书链导出为pkcs#12格式
openssl pkcs12 -export -inkey private_key.key -in myca_computer.com.cer -chain -CAfile ca.pem -out server.p12

导出私钥

# 导出私钥,会先询问p12的加密密码,再要求设置导出的私钥加密密码
openssl pkcs12 -in x509_private.pfx -nocerts -out p12_expory_private.key
# 不设置私钥加密密码
openssl pkcs12 -in x509_private.pfx -nocerts -out p12_expory_private.key -nodes

导出X509

openssl pkcs12 -in x509_private.pfx -nokeys -clcerts -out x509.pem

导出证书链

openssl pkcs12 -in x509_private.pfx -nokeys -out cert_chain.pem

导出所有到一个文件

openssl pkcs12 -in x509_private.pfx -nodes -out all-in-one.pem

检查X509证书与私钥是否一致

哈希值相同则匹配:

# 查看证书哈希值
openssl x509 -noout -modulus -in my-CA/X509证书/magicbox_ca.com.cer | openssl md5
# 查看私钥哈希值
openssl rsa -noout -modulus -in my-CA/private_key.key | openssl md5

相关参考

如何制作自签名证书
OpenSSL与证书(三)PKCS#12证书

我有一个魔盒
关注
  • 5
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenSSL命令---pkcs12
VitalityShow(网络通讯)
11-13 4万+
pkcs12文件工具,能生成和分析pkcs12文件。PKCS#12文件可以被用于多个项目,例如包含Netscape、 MSIE 和 MS Outlook。
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
测试环境:使用OpenSSL生成证书并配置Https
最新发布
liao3399084的博客
07-06 1286
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
OPENSSL 证书申请
在线笔记
10-08 983
http://www.cnblogs.com/E7868A/archive/2012/11/16/2772240.html 申请证书 SSL常用于身份验证、数据加密等应用中,要使用SSL,我们密码有自己的证书。数字证书一般要向专业的认证公司(如VeriSign)申请,并且 都是收费的,某些情况下,我们只是想使用加密的数据通信,而不在乎认证,这时就可以自己制作一
openssl证书申请
weixin_43055250的博客
11-30 810
1.建立ROOT CA /etc/pki/tls/openssl.cnf 1)生成私钥 /etc/pki/CA/private openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096 2)自签名证书 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650 CN beijing beijing lzsj m30
openssl实现证书申请
weixin_33779515的博客
09-25 603
一.openssl openssl 由3部分组成: openssl: 多用途的命令行工具 libcrypto: 加密算法库 libssl:加密模块应用库,实现了ssl及tls openssl子命令: 1. 对称加密工具:enc,gpg 常用算法: 3des,aes,...
openssl命令基础用法:创建CA和申请证书
qq_40378795的博客
12-10 1191
使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/usr/lib/ssl/openssl.cnf 文件。 修改文件内容 /etc/pki/CA中创建下面文件 第一步:创建为 CA 提供所需的目录及文件 sudo mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} 需要在文件serial中输入01。 echo 01 >> seri..
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
OpenSSL生成ssl证书
01-11
**OpenSSL生成ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
openssl生成ca证书和服务器公私钥
11-03
里边第一步和第二步一起执行,xxx 替换成需要的 文件目录即可
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
openssl 生成ca证书 pkcs12 pem格式转换
12-03
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。
使用openssl生成证书
chen_jianjian的专栏
04-12 1824
一、生成证书步骤 1.先创建一个目录,我这边创建的目录是/var/myca,终端指向该目录 1.生成私钥(key文件):openssl genrsa -des3 -out server.key 2048 2.去除key文件口令,不然每次读取key文件都要输入口令openssl rsa -in server.key -out server.key 3.key生成一个csr证书openssl
使用openssl 生成免费证书
larance的挨踢生活
04-12 652
为了确定我们的博客园网站的服务器有没有被伪造,在SSL中有这么一个规则:假如我们向服务器发出请求后,服务器必须返回它的数字证书给接收者,当我们拿到数字证书之后,我们可以根据里面的ca数字签名,来检验数字证书的合法性。客户端第一次给服务器发送请求的时候(拿到证书之前的那个请求),会在请求里面放一个随机数(比如叫A),服务器的返回证书的响应里也会带一个随机数(比如叫B), 客户端拿到证书后,会使用公钥加密一个随机数(比如叫C)发送给服务器,因此客户端,服务器就有三个随机数:A、B、C。它能保证数据不被篡改。
通过openSSL生成自签名根证书及根据根证书颁发的用户证书
adminstate的博客
07-20 1247
数字证书
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
热门推荐
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
openssl 生成数字证书
程序猿视角
12-11 724
以前用 windows 自带的 makecert 生成数字证书。这个命令有一些局限性,而且现在的 windows 也不支持了。网上查了一下,目前用的比较多的是开源工具 openssl。这个命令以前学习 go 语言的时候曾经用过,功能齐全,使用方便,先推荐给大家使用。 一、openssl for windows 下载地址 http://slproweb.com/products/Win32OpenSSL.html 二、生成数字证书的例子 openssl req -new -x509 -keyout ca.ke
OpenSSL生成证书CA及签发证书
skytering的博客
11-25 1万+
OpenSSL生成证书CA及签发证书1.系统环境2.准备工作2.1.OpenSSL的配置3.生成证书3.1.生成证书私钥3.2.生成证书请求(ca.csr)3.3.检查证书请求信息3.4.自签发根证书3.5.检查证书3.6.快速方式用私钥创建自签名证书4. 创建二级证书4.1.生成私钥和证书请求4.2.使用根证书签发二级证书5.生成服务器端证书5.1.生成服务端私钥(server-key.p...
openssl导出HTTPS服务的证书(自动生成证书文件)
规则边缘的博客
08-18 756
host=www.baidu.com port=443 openssl s_client -connect ${host}:${port} -showcerts|openssl x509 -outform pem > ${host}.crt
openssl生成ca并配置证书在浏览器
05-12
生成CA证书: 1. 首先生成一个私有密钥: ``` openssl genrsa -out ca.key 2048 ``` 2. 生成自签名的CA证书: ``` openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 在这个过程中,你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值