SSL生成证书的几种方式

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量8.5k 收藏 15
点赞数
分类专栏: python 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41579863/article/details/120589955
版权

目录

一、使用makecert命令生成

二、PowerShell 命令生成方式

确定你的打包应用的主体

使用 New-SelfSignedCertificate 创建证书

三、Openssl 生成方式

四、Window IIS生成证书

五、EKU (OID)扩展

六、参考

一、使用makecert命令生成

  1. 生成自签名证书。
  2. 以下命令行包含使用 makecert.exe 在 WinRM 主机上创建证书的示例语法。makecert.exe -r -pe -n "CN=host_name-3,O=organization_name" -e mm/dd/yyyy -eku 1.3.6.1.5.5.7.3.1 -ss my -sr localMachine -sky exchange -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 certificate_name.cer
  3. 通过使用 Microsoft 管理控制台添加生成的证书。
    1. 运行 mmc.exe。
    2. 选择文件 > 添加/删除管理单元。
    3. 从可用管理单元列表中,选择证书,然后单击添加。
    4. 选择计算机帐户并单击下一步。
    5. 单击完成。
    6. 验证在控制台根 > 证书(本地计算机) > 个人 > 证书和控制台根 > 证书(本地计算机) > 受信任的根证书颁发机构 > 证书中安装了证书。
    7. 如果受信任的根证书颁发机构和个人文件夹中未安装证书,则必须手动安装。
  4. 使用正确的指纹和主机名创建 HTTPS 侦听器。
  5. 以下命令行包含用于创建 HTTPS 侦听器的示例语法。winrm create winrm/config/Listener?Address=*+Transport=HTTPS @{Hostname="host_name";CertificateThumbprint="certificate_thumbprint"}注:忽略证书指纹中的空格。
  6. 测试连接。
  7. 以下命令行包含用于测试连接的示例语法。winrs -r:https://host_name:port_number -u:user_name -p:password hostname

二、PowerShell 命令生成方式

确定你的打包应用的主体

若要使用证书给你的应用包签名,证书中的“主体”必须 匹配应用清单中的“发布者”部分。

例如,你应用的 AppxManifest.xml 文件中的“身份”部分应如下所示:

<Identity Name="Contoso.AssetTracker" 
    Version="1.0.0.0" 
    Publisher="CN=Contoso Software, O=Contoso Corporation, C=US"/>

使用 New-SelfSignedCertificate 创建证书

使用 New-SelfSignedCertificate PowerShell cmdlet 创建自签名证书。 New-SelfSignedCertificate 包含用于自定义的几个参数,但是鉴于本文目的,我们将侧重于创建可使用 SignTool 的简单证书。 有关更多示例和此 cmdlet 的使用,请参阅 New-SelfSignedCertificate

基于上一示例中的 AppxManifest.xml 文件,你应该使用下面的语法创建证书。 在提升的 PowerShell 提示符中:

New-SelfSignedCertificate -Type Custom -Subject "CN=Contoso Software, O=Contoso Corporation, C=US" -KeyUsage DigitalSignature -FriendlyName "Your friendly name goes here" -CertStoreLocation "Cert:\CurrentUser\My" -TextExtension @("2.5.29.37={text}1.3.6.1.5.5.7.3.3", "2.5.29.19={text}")

请注意以下有关某些参数的详细信息:

  • KeyUsage: 此参数定义证书可用于什么。 对于自签名证书,此参数应设置为 DigitalSignature

  • TextExtension: 此参数包括以下扩展的设置:

    • EKU (扩展) :此扩展表示可能使用已认证的公钥的其他用途。 对于自签名证书,此参数应包含扩展字符串 "2.5.29.37={text}1.3.6.1.5.5.7.3.3", 指示证书将用于代码签名。

    • 基本约束:此扩展指示证书是否是证书颁发机构 (CA) 。 对于自签名证书,此参数应包含扩展字符串 "2.5.29.19={text}", 该字符串指示证书是最终实体 (而不是 CA) 。

运行此命令后,证书将被添加到本地证书存储中,如“-CertStoreLocation”参数中指定。 该命令的结果还将生成证书的指纹。

你可以使用以下命令在 PowerShell 窗口中查看你的证书:

 ls Cert:\LocalMachine\My

三、Openssl 生成方式

1、安装

地址:Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions

2、生成私钥-使用des3算法

openssl genrsa -des3 -out private-rsa.key 1024

会让输入私钥密码,最终生成private-rsa.key私钥文件,结果如下:

 

3、使用私钥文件生成证书申请文件

openssl req -new -x509 -key private-rsa.key -days 750 -out public-rsa.cer

过程中需要私钥密码,并且填入一些信息:

 

4、生成pfx即PKCS格式证书

openssl pkcs12 -export -name test-alias -in public-rsa.cer -inkey private-rsa.key -out user-rsa.pfx

四、Window IIS生成证书

1、若没有找到IIS 证书,先进行IIS服务安装

 2、打开IIS管理器,打开服务器证书

 

3、根据提示创建自签证书

 

五、EKU (OID)扩展

        增强型密钥用法(EKU)就是定义该证书的用途,由一串十进制数字组成,也称 Object ID或OID,常见的OID有:服务器验证: 1.3.6.1.5.5.7.3.1 (serverAuth),客户端验证: 1.3.6.1.5.5.7.3.2 (clientAuth),代码签名: 1.3.6.1.5.5.7.3.3 (codeSigning),电子邮件加密: 1.3.6.1.5.5.7.3.4 (emailProtection)等等。

六、参考

Passwordless WinRm Backdoor Based On Certification

OID description for 2.5.29.37 - Extended key usage

为程序包签名创建证书 - MSIX | Microsoft Docs

使用openssl创建https证书 - 云+社区 - 腾讯云

https://jingyan.baidu.com/article/37bce2be782daa1003f3a247.html

大太阳小白
关注
  • 0
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssl证书批量生成工具
03-19
ssl证书批量生成
Nginx中实现自签名SSL证书生成与配置
Katie_ff的博客
09-07 4458
本文 主要是Nginx 就可以使用自签名 SSL 证书来启用 HTTPS,实现加密和安全的通信。需要注意的是,自签名 SSL 证书不会受到公信任的证书颁发机构(Certificate Authority)认可,因此浏览器会显示安全警告。在生产环境中,建议使用由受信任的证书颁发机构签发的证书来获得更高的安全性和可信度。
openssl 生成证书步骤
最新发布
hinewcc的博客
05-08 2794
本地使用 openssl 生成证书
openssl证书生成和管理 证书签名请求(CSR)的创建、自签名证书或CA签名证书生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 3228
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA或证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
生成SSL证书
程序员小志
04-01 433
如果需要只需要部署服务端证书端话,就可以结束了。拿着server.crt公钥和server.key私钥部署在服务器上,然后解析域名到改服务器指向到IP,证书就部署成功了。如果需要做双向验证的,也就是服务端要验证客户端证书的情况。那么需要在同一个根证书下再生成一个客户端证书
怎么简单的生成SSL证书
蔚可云的博客
11-25 1万+
下面小编给大家说一下SSL证书生成的方法: 第1步:生成私钥 我们一般运用openSSL这个工具来生成一个RSA私钥 说明:生成rsa私钥,des3算法,2048位强度,server.key是秘钥文件名。 注意:一般生成私钥,需要至少一个 4位的密码。 第2步: CSR生成私钥后,那么此时就可以创建csr文件了。 此时可以有两种选择。理想情况下,可以将证书发送给证书颁发机构(ssl证书申请​​),CA验证过请求者的身份之后,会出具签名证书(很贵)。 说明:需要依次输入国家,地区,城市.
通过openSSL生成自签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 4785
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
powershell 自签名证书
heww的专栏
09-30 1415
https://docs.microsoft.com/zh-cn/powershell/module/pkiclient/new-selfsignedcertificate?view=win10-ps 1.创建根证书 $cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature ` -Subject "CN=P2SR...
可运营的SSL证书在线生成系统源码,附带图文搭建教程
01-12
2. 证书申请模块:收集用户信息,进行身份验证,生成证书请求。 3. CA接口模块:与外部CA进行通信,处理证书签名请求。 4. 证书管理模块:存储已签发的证书,提供下载和续期服务。 5. 日志监控模块:记录操作日志,...
springboot下配置SSL证书HTTPS访问
07-17
这些信息将被用来生成证书生成 Keystore 在生成 Keystore 之后,将生成一个名为 keystore.jks 的文件,该文件将存储 SSL 证书。Keystore 中存储了公钥、私钥和证书链。 SpringBoot 配置 SSL 在 SpringBoot 中...
Java如何跳过https的ssl证书验证详解
08-25
SSL证书只是数字证书的一种,CA机构签发SSL证书。CA是数字证书管理机构。从理论上来说,如果服务端采用HTTPS协议,而自己没有SSL证书(服务端不提供SSL证书),那么通信是不可能成功的。 三、Java跳过HTTPS的SSL...
CreateCertGUI(写SSL证书).rar
02-15
在使用自签名SSL证书时,需要注意以下几点: 1. 浏览器警告:由于自签名证书不是由权威机构签署的,大多数浏览器会在访问使用这种证书的网站时显示警告,提醒用户可能存在风险。 2. 信任问题:除非用户手动添加证书...
生成可信任的SSL证书
雪急飞绪博客
03-19 1539
什么 SSL 证书才是安全的证书?不满足会展示如下提示信息:CA(Certification Authority) 机构签发 SSL 证书SSL 证书根据验证级别分为三种类型DV SSL,域名验证型只验证网站域名所有权的简易型 SSL 证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份OV SSL,组织验证型需要验证网站所有单位的真实身份的标准型 SSL 证书,此类证书也就是正常的 SSL 证书,不仅能起到网站机密信息加密的作用,而且能向用户证明网站的真实身份。
证书生成(keystore、truststore、crt、key)
IT从业者
03-27 9956
证书生成(keystore、truststore、crt、key)
如何生成keystore文件证书
qq_45768050的博客
05-14 7090
第一步 进入https://ask.dcloud.net.cn/article/35985点击Android平台签名证书(.keystore)生成指南 第二步:安装jre环境(如已有请跳过) 第三步:进入bin目录打开cmd 第四步:生成keystore证书文件 使用keytool -genkey命令生成证书: keytool -genkey -alias testalias -keyalg RSA -keysize 2048 -validity 36500 -keystore test.keysto
生成SSL证书的方法
Nicholas的专栏
08-22 1万+
一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。 需要手工生成证书的情况有: 找不到可用的证书 需要配置双向SSL,但缺少客户端证书 需要对证书作特别的定制 首先,无论是在Linux下还是在Windows下的Cygwin中,进行下面的操作前都须确认已安装OpenSSL软件包。 1. 创建根证书密钥文...
自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书
热门推荐
汪翰翔的Blog
12-27 2万+
这里说下Linux 系统怎么通过openssl命令生成 证书。   首先执行如下命令生成一个key   openssl genrsa -des3 -out ssl.key 1024   然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。   由于生成时候必须输入密码。你可以输入后 再删掉。
SSL证书生成
supertor的博客
10-16 2852
新建一个文件夹,以下步骤均在该文件夹中进行。 准备站点证书 如果你拥有一个域名,国内各大云服务商均提供免费的站点证书。你也可以使用 openssl 自行签发证书。 下面我们介绍使用 openssl 自行签发 docker.domain.com 的站点 SSL 证书。 第一步创建 CA 私钥。 $ openssl genrsa -out &amp;amp;quot;root-ca.key&amp;amp;quot; 4096 第二步利用私钥创建 C...
nginx 使用https 几种实现方式
07-17
Nginx可以通过多种方式实现HTTPS。以下是其中几种常见的方式: 1. 使用自签名证书:可以通过生成自签名证书来启用HTTPS。这种方法不需要向第三方证书颁发机构(CA)申请证书,但在浏览器中会出现安全警告。 2. 使用免费的Let's Encrypt证书:Let's Encrypt是一个提供免费SSL证书的开放式证书颁发机构。可以使用Certbot等工具自动化地获取和更新Let's Encrypt证书。 3. 购买商业SSL证书:可以从商业证书颁发机构购买SSL证书。这些证书经过CA认证,被广泛接受,不会在浏览器中出现安全警告。 4. 使用Nginx作为反向代理:可以将Nginx配置为反向代理,将HTTPS请求转发到后端服务器,并在Nginx上终止SSL连接。后端服务器可以使用HTTP进行通信,这样可以简化后端服务器的配置。 以上是几种常见的方式,具体选择取决于您的需求和情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值