[完结] 生成单向/双向SSL证书

已于 2024-09-18 23:28:29 修改
阅读量224 收藏
点赞数 4
分类专栏: centos基础环境搭建 文章标签: ssl https 网络协议
于 2024-09-13 11:52:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41904935/article/details/142207130
版权

1.Nginx

1.1 SSL 单向认证

# 生成加密的私钥
openssl genrsa -des3 -out private.key 2048
# 生成证书签名请求 (CSR)
openssl req -new -key private.key -out certificate.csr -passin pass:giraffe -subj "/C=CN/ST=ShangHai/L=ShangHai/O=MyCompany/OU=IT/CN=www.test.com/emailAddress=1183711908@qq.com"
# 生成自签名证书
openssl x509 -req -days 3650 -in certificate.csr -signkey private.key -passin pass:giraffe -out certificate.crt
# 生成不带密码保护的私钥
openssl rsa -in private.key -passin pass:giraffe -out private_no_passphrase.key
# 验证生成的证书
openssl x509 -in certificate.crt -text -noout
# 验证私钥内容
openssl rsa -in private_no_passphrase.key -check
# 验证CSR内容
openssl req -text -noout -verify -in certificate.csr

# nginx 配置
http {
    server {
      listen       443 ssl; 
  		# ssl证书地址,指定文件路径和私钥路径
      ssl_certificate     /etc/cert/certificate.crt;
      ssl_certificate_key /etc/cert/private_no_passphrase.key;
  		ssl_session_timeout  30m;
  		ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
  		ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
  		ssl_prefer_server_ciphers on;
    }
}

1.2 SSL 双向认证

#步骤1:创建根证书
#步骤1.1:创建根证书私钥: 				root.key: 根证书私钥文件
openssl genrsa -out root.key 2048
#步骤1.2:创建根证书请求文件:		root.csr: 根证书请求文件
openssl req -new -out root.csr -key 	root.key	-subj "/C=CN/CN=server.demo.com"
#步骤1.3:创建根证书:						root.crt : 签名有效期为10年的根证书
openssl x509 -req -in root.csr -out 	root.crt -signkey root.key -CAcreateserial -days 3650 

#步骤2:根据根证书创建服务端证书
#步骤2.1:生成服务器端证书私钥:		server.key:服务器端的秘钥文件
openssl genrsa -out server.key 2048
#步骤2.2:生成服务器证书请求文件  	server.csr : 服务端证书请求文件(请求证书时使用, 后续配置无用)
openssl req -new -out server.csr -key server.key  -subj "/C=CN/CN=server.demo.com"
#步骤2.3:生成服务器端公钥证书		server.crt:有效期十年的服务器端公钥证书,使用根证书和服务器端私钥文件一起生成
openssl x509 -req -in server.csr -out server.crt -CA root.crt -CAkey root.key  -CAcreateserial -days 3650
root.srl: CA签发证书的序列号记录文件,全名是 root.Serial 。

#步骤3:根据根证书创建客户端证书
#步骤3.1:生成客户端证书秘钥:		client.key:客户端的私钥文件
openssl genrsa -out client.key 2048
#步骤3.2:生成客户端证书请求文件		clinet.csr : 客户端证书请求文件(请求证书时使用, 后续配置无用)
openssl req -new -out client.csr -key client.key -subj "/C=CN/CN=server.demo.com"
#步骤3.3:生客户端证书						client.crt:有效期十年的客户端证书,使用根证书和客户端私钥一起生成
openssl x509 -req -in client.csr -out client.crt -CA root.crt -CAkey root.key -CAcreateserial -days 3650
#步骤3.4:生客户端p12格式证书			client.p12:客户端p12格式,这个证书文件包含客户端的公钥和私钥,主要用来给浏览器或postman访问使用
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 -password pass:'123456'

# 检查证书链
openssl x509 -in server.crt -text -noout
openssl x509 -in client.crt -text -noout

# nginx配置
server {
        listen       443 ssl;
        server_name  server.demo.com;# 无域名可填写ip
        ssl                  on;  
        ssl_certificate      /data/sslKey/server.crt;  #server公钥证书
        ssl_certificate_key  /data/sslKey/server.key;  #server私钥
        ssl_client_certificate /data/sslKey/root.crt;  #根证书,可以验证所有它颁发的客户端证书
        ssl_verify_client on;  #开启客户端证书验证  
 
		    # 反向代理eg: 作用是通过https(443端口)访问, 则会直接去请求本机的8991端口
		    location / {
           	proxy_pass http://127.0.0.1:8991/;
    		}
}

2. SSL对称加密

2.1 方式 1:keytool

# 生成自签名证书
keytool -genkeypair -keyalg RSA -keysize 2048 -keystore server.jks -alias server -validity 365 -keypass 123456 -storepass 123456 -dname "CN=localhost" -ext san=IP:192.168.1.9

# 从服务器端证书秘钥库中导出Cer证书
keytool -export -alias server -keystore server.jks -storepass 123456 -file server.cer

# 生成客户端自签名证书
keytool -genkeypair -keyalg RSA -keysize 2048 -keystore client.jks -alias client -validity 365 -keypass 123456 -storepass 123456 -dname "CN=localhost" -ext san=IP:192.168.1.9

# 从服务器端证书秘钥库中导出Cer证书
keytool -export -alias client -keystore client.jks -storepass 123456 -file client.cer

# 将客户端证书导入到服务器端证书秘钥库
keytool -import -trustcacerts -alias server -file server.cer -keystore client.jks -storepass 123456
# 将服务器端证书导入到客户端证书秘钥库
keytool -import -trustcacerts -alias client -file client.cer -keystore server.jks -storepass 123456

# 将客户端导出浏览器可安装的证书
keytool -importkeystore -srckeystore client.jks -destkeystore client.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456 -srckeypass 123456 -destkeypass 123456 -srcalias client -destalias client -noprompt

# 将服务端导出浏览器可安装的证书
keytool -importkeystore -srckeystore server.jks -destkeystore server.p12 -srcstoretype JKS -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456 -srckeypass 123456 -destkeypass 123456 -srcalias server -destalias server -noprompt

# 查看颁发证书
keytool -list -v -keystore server.jks -storepass 123456
keytool -list -v -keystore client.jks -storepass 123456

2.2 方式 2:openSSL

# 步骤1:创建CA证书
# 1.1. 创建CA私钥 RootCaKey@2024 生成 rootca.key
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out rootca.key -pass pass:'RootCaKey@2024'
# 1.2. 创建CA证书请求 生成 rootca.crt
openssl req -x509 -days 3650 -sha256 -key rootca.key -passin pass:'RootCaKey@2024' -out rootca.crt -subj "/C=CN/CN=demorootca.demo.com"
# 1.3 生成并导入信任证书库 PKCS12 生成 rootca.p12 TrustStore@2024
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
# 查看 PKCS12 证书
keytool -list -v -keystore rootca.p12 -storetype PKCS12 -storepass 'TrustStore@2024'
## 生成并导入信任证书库 JKS 生成 rootca.jks
keytool -import -noprompt -trustcacerts -alias rootca -file rootca.crt -keystore rootca.jks -storetype JKS -storepass 'TrustStore@2024'
### 查看 JKS 证书
keytool -list -v -keystore rootca.jks -storetype JKS -storepass 'TrustStore@2024'


# 步骤2: 签发服务端证书
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out server.key -pass pass:'ServerKey@2024'
openssl req -new -key server.key -passin pass:'ServerKey@2024' -out server.csr -subj "/C=CN/CN=server.demo.com"
openssl x509 -req -in server.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out server.crt -days 3650 -sha256
# 使用CA证书验证服务端证书
openssl verify -verbose -CAfile rootca.crt server.crt
# 生成PKCS12服务端证书
openssl pkcs12 -export -inkey server.key -passin pass:'ServerKey@2024' -in server.crt -chain -CAfile rootca.crt -out server.p12 -password pass:'ServerKeyStore@2024'
# 查看 server.p12证书
keytool -list -v -keystore server.p12 -storepass 'ServerKeyStore@2024'
# 将证书导入到 JKS 信任库
keytool -importkeystore -destkeystore server.jks -srckeystore server.p12  -deststoretype pkcs12 -storepass 'ServerKeyStore@2024'
# 查看 JKS 证书
keytool -list -v -keystore server.jks -storetype JKS -storepass 'ServerKeyStore@2024'

# 步骤3:签发客户端证书
openssl genpkey -aes256 -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out client.key -pass pass:'ClientKey@2024'
openssl req -new -key client.key -passin pass:'ClientKey@2024' -out client.csr -subj "/C=CN/CN=client.demo.com"
openssl x509 -req -in client.csr -CA rootca.crt -CAkey rootca.key -passin pass:'RootCaKey@2024' -CAcreateserial -out client.crt -days 3650 -sha256
# 使用CA证书验证客户端证书
openssl verify -verbose -CAfile rootca.crt client.crt
# 生成PKCS12客户端证书
openssl pkcs12 -export -inkey client.key -passin pass:'ClientKey@2024' -in client.crt -chain -CAfile rootca.crt -out client.p12 -password pass:'ClientKeyStore@2024'
# 查看 client.p12 证书
keytool -list -v -keystore client.p12 -storepass 'ClientKeyStore@2024'
# 将证书导入到 JKS 信任库
keytool -importkeystore -destkeystore client.jks -srckeystore client.p12  -deststoretype pkcs12 -storepass 'ClientKeyStore@2024'
# 查看 JKS 证书
keytool -list -v -keystore client.jks -storetype JKS -storepass 'ClientKeyStore@2024'

2.3 springBoot 集成

2.3.1 服务端配置

# pom 添加依赖
<dependency>
    <groupId>org.bouncycastle</groupId>
    <artifactId>bcprov-jdk18on</artifactId>
    <version>1.78.1</version>
</dependency>

# 启动类添加
@SpringBootApplication
public class ServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(ServerApplication.class, args);
    }
    //添加
    static {
        Security.addProvider(new BouncyCastleProvider());
    }
}

# application.yml配置
server:
# server.jks方式
  ssl:
    enabled: true
    #是否需要进行认证
    client-auth: need
    key-store: classpath:cert/server.jks
    key-store-password: 123456
    key-alias: server
    trust-store: classpath:cert/server.jks
    trust-store-password: 123456
# server.p12方式
server:
  ssl:
    enabled: true
    key-store: classpath:cert/server.p12
    key-store-password: 'ServerKeyStore@2024'
    key-store-type: PKCS12
    key-store-provider: BC
    enabled-protocols: TLSv1.2,TLSv1.3
    trust-store: classpath:cert/rootca.jks
    trust-store-password: 'TrustStore@2024'
    trust-store-type: JKS
    trust-store-provider: SUN
    client-auth: need

2.3.2客户端配置

# 引入 pom 添加依赖
<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
</dependency>
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>2.0.50</version>
</dependency>


/**
 * 获取TLS/SSL套节字工厂
 * @return
 */
private static SSLConnectionSocketFactory getSslConnectionSocketFactory() {
    ClassLoader classLoader = Thread.currentThread().getContextClassLoader();
    java.net.URL resourceUrl = classLoader.getResource("cert/client.jks");
    try (InputStream keyInput = new FileInputStream(resourceUrl.getPath())) {
        KeyStore keyStore = KeyStore.getInstance("JKS");
        keyStore.load(keyInput, "123456".toCharArray());
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, "123456".toCharArray());
        // 创建一个空的 TrustManager,绕过java jre 证书信任库认证
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }

                    public void checkClientTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                    }

                    public void checkServerTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                    }
                }
        };
        SSLContext sslContext = SSLContext.getInstance("TLS");
        sslContext.init(keyManagerFactory.getKeyManagers(), trustAllCerts, new java.security.SecureRandom());
        // 创建 SSL 连接套接字工厂
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                sslContext,
                NoopHostnameVerifier.INSTANCE // 注意:在生产环境中,你应该使用更安全的 HostnameVerifier
        );
        return sslsf;
    } catch (Exception e) {
        e.printStackTrace();
    }
    return null;
}

/**
 * 测试HTTPS POST请求
 */
@Test
void httpsRequest() {
    try {
        // 加载 JKS 文件
        SSLConnectionSocketFactory sslsf = getSslConnectionSocketFactory();
        // 创建 HttpClient 实例
        CloseableHttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(sslsf)
                .build();
        // 创建 HttpPost 实例
        HttpPost httpPost = new HttpPost("https://127.0.0.1:8081/api/user/post");
        // 设置请求体(这里以 JSON 为例)
        UserVO userVO = new UserVO();
        userVO.setUsername("123456");
        StringEntity entity = new StringEntity(JSON.toJSONString(userVO), "UTF-8");
        entity.setContentType("application/json");
        httpPost.setEntity(entity);
        // 发送请求并获取响应
        try (CloseableHttpResponse response = httpClient.execute(httpPost)) {
            HttpEntity responseEntity = response.getEntity();
            System.out.println(EntityUtils.toString(responseEntity));
        }
    } catch (IOException e) {
        e.printStackTrace();
    }
}

验证请求

#使用curl命令和使用postman均可以验证,需要配置客户端证书。
# 使用命令验证
curl -k --cert-type P12 --cert client.p12:'ClientKeyStore@2024' --location --request GET 'https://127.0.0.1:8081/api/user/get'
# 使用postman的时候
# 需要将 Settings->General->REQUEST->SSL certificate verification 开关关掉,即不校验SSL服务端证书。
咚个里个咚咚
关注
专栏目录
ssl单向证书双向证书校验测试及搭建流程
十三阿哥的博客
08-01 2186
【代码】ssl单向证书双向证书校验测试及搭建流程。
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1657
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
https ssl单项认证和双向认证以及证书生成
感冒石头的博客
09-21 1207
非对称加密: 加密和解密使用不同的密钥,这两个密钥形成有且仅有唯一的配对,叫公钥和私钥。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。(3)客户端读取CA证书的明文信息,采用相同的hash散列函数计算得到信息摘要(hash目的:验证防止内容被修改),然后用操作系统带的CA的公钥去解密签名(因为签名是用CA的私钥加密的),对比证书中的信息摘要。
SSL双向认证与单向认证
m0_51514815的博客
05-29 6089
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书单向认证 SSL 协议不需要客户拥有CA证书
SSL双向认证和SSL单向认证的流程和区别
zhulianhai0927的专栏
01-13 912
refs: SSL双向认证和SSL单向认证的区别 https://www.jianshu.com/p/fb5fe0165ef2 图解 https 单向认证和双向认证! https://cloud.tencent.com/developer/news/233610 SSL/TLS 双向认证(一) -- SSL/TLS工作原理 https://blog.csdn.net/wuliganggang...
SSL单向/双向认证过程
水木年华..的博客
09-07 340
文章来源:http://www.williamlong.info/archives/2058.html 单向认证 SSL 协议的具体过程 ①客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。 ②服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送
mTSL: netty单向/双向TLS连接
Mr_rain的专栏
03-02 1184
不管是单向tls还是双向tls(mTLS),都需要创建证书。创建证书可以使用openssl或者keytool,openssl 参考。
使用TLS单向/双向认证,加密Netty程序
u013071014的博客
05-27 1415
使用TLS单向/双向认证,加密Netty程序 一. 项目准备 创建一个Netty服务端和客户端项目。 参考https://blog.csdn.net/u013071014/article/details/117325053?spm=1001.2014.3001.5501 二. KeyTool生成证书 生成Netty服务器公钥、私钥和证书仓库: keytool -genkey -alias server -keysize 2048 -validity 3650 -keyalg RSA -dname "CN
SSL/TLS单向认证和双向认证介绍
热门推荐
网络资源是无限的
06-19 1万+
为了便于理解SSL/TLS的单向认证和双向认证执行流程,这里先介绍一些术语。 1. 散列函数(Hash function):又称散列算法、哈希函数,是一种从任何一种数据中创建小的数字”指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来。该函数将数据打乱混合,重新创建一个叫做散列值(hash values, hash codes, hash sums)的指纹。散列值通常用一个短的随机字母和数字组成的字符串代表。好的散列函数在输入域中很少出现散列冲突。 散列函数的工作原理如下
SSL单向认证和双向认证
wwwlyj123321的博客
05-15 4796
SSL(Secure Sockets Layer,安全套接字协议)是为网络通信提供安全及数据完整性的一种安全协议。本文主要介绍 SSL 单向认证和双向认证。 关于证书 1、每个人都可以使用一些证书生成工具为自己的https站点生成证书(比如jdk的keytool),大家称它为“自签名证书”,但是自己生成证书是不被互联网承认的,所以浏览器会报安全提示,要求你手动安装证书。只有通过权威的CA机构付费获得的证书才能被互联网承认(有点类似于根域服务器的权威机构)。 2、证书(无客户端服务端之分)保存着ip信
tomcat ssl单向/双向
04-14
总结来说,"Tomcat SSL 单向/双向"涉及到网络通信的安全性,涵盖SSL证书的配置、服务器和客户端的认证,以及源码层面的理解。对于开发和运维人员,掌握这些知识对于构建安全的Web服务至关重要。
keytool+tomcat 单向/双向认证的配置
08-09
当我们谈论单向双向认证,这是SSL/TLS协议中的安全概念,用于确保网络通信的安全性。 **单向认证(Server Authentication)**: 在此模式下,客户端(如浏览器)验证服务器的身份。服务器需要一个由受信任的证书...
JAVA实现的SSL/TLS双向认证源代码
02-02
在Java中实现SSL/TLS双向认证,我们需要创建并管理两个关键的证书:服务器证书和客户端证书。这通常涉及以下步骤: 1. **生成证书**:使用`keytool`或`openssl`工具生成证书。`keytool`是Java自带的命令行工具,...
Windows安装openssl开发库
qq_42851449的博客
09-26 414
下载网址:下载对应的安装版本。双击安装包,一路下一步完成安装。:1.安装路径不要有空格;2. 建议不要把DLL拷贝到系统路径。
Certbot自动申请并续期https证书
qq_23435961的博客
09-25 474
获取 SSL 证书:运行 Certbot 命令来获取并安装 SSL 证书。这将使用 Certbot 的 webroot 插件来进行验证,并为你的域名生成 SSL 证书。确保将替换为你网站的根目录路径,替换为你的实际域名。设置自动续期:Certbot 支持设置自动续期任务,以确保你的 SSL 证书在到期前得到更新。你可以使用系统的工具(如 cron)来定期运行 Certbot 命令。请使用合适的编辑器打开计划任务配置文件(通常是),将上述命令添加到文件末尾,并保存文件。
FortiGate SSL VPN host check添加自定义防病毒软件
最新发布
Aggy阿吉的博客
09-26 368
FortiOS为7.0版本,开启host check功能后,使用FortiClient 6.2和6.4版本SSL连接都不成功(免费版本不支持,收费版本可以)。执行命令:(get-Item C:\Executable path).versionInfo | Format-List。执行文件目录:C:\Program Files (x86)\Kaspersky Lab\Kaspersky。GUID值:{4F76F112-43EB-40E8-11D8-F7BD1853EA23}安装杀毒软件登陆成功。
FortiOS SSL VPN 用户访问权限配置
Aggy阿吉的博客
09-25 954
使用不同用户组或用户登录 SSL VPN 隧道模式后,可配置不同的访问权限。本文介绍为不同用户组分配不同访问权限的配置方法。相关组件客户端:Windows11,安装 FortiClient VPN 7.2.3.0929用户及用户组配置地址对象配置。
记录linux环境下搭建本地MQTT服务器实现mqtt的ssl加密通讯
杨正的专栏
09-24 1132
2、使用mqtts/tls加密通信时,server地址需加"ssl://", 例如"ssl://127.0.0.1:8883";使用github中的一个脚本,可以让hostname为localhost、本机ip或127.0.0.1,脚本从。修改mosiquitto.conf,添加证书的路径,加密端口8883(配置端口监听端口默认是1883)4、需要移植openssl库,mqtt源码编译需要链接到openssl中的include和lib。该脚本创建CA文件,生成服务器证书,并使用CA来签名证书
【OpenSSL】OpenSSL 教程
Young_Pro的博客
09-26 1238
OpenSSL是一个开源的软件库,用于实现SSL/TLS协议以及通用加密功能,广泛用于网络通信和数据安全领域。
SSL配置指南:从单向双向验证
下面将详细介绍SSL配置的一些基本步骤和命令,包括Windows环境下的单双向验证配置以及Linux环境下的单向验证配置。 ### Windows 单双向验证配置 在Windows环境中,SSL配置通常涉及到生成和管理证书。以下是使用`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

咚个里个咚咚

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值