linux中web服务器证书,用openssl为WEB服务器生成证书(自签名CA证书,服务器证书)...

最新推荐文章于 2023-08-29 16:24:18 发布
最新推荐文章于 2023-08-29 16:24:18 发布
阅读量454 收藏
点赞数
文章标签: linux中web服务器证书
本文介绍了如何不用自签名证书,而是从网上申请免费的服务器证书。文章详细阐述了证书配置过程,包括openssl.cnf文件的内容,以及如何创建自签名根证书和服务器证书。此外,还提供了证书格式转换的命令,并提示读者可以在线申请免费证书以替代自签名证书。
摘要由CSDN通过智能技术生成

来源: 来自

写于: 2019-03-28.

不想用自签名证书,想在网上申请一个免费服务器证书,见这篇:

以下内容是用自签名证书,为网站生成服务器证书。

照着这一篇

openssl.cnf

#openssl.cnf

[ ca ]

default_ca = hostapd

[ hostapd ]

dir = .

serial = $dir/0serial

database = $dir/2indexdb.txt

new_certs_dir = $dir/3certs_new

certificate = $dir/ca_cert.pem

private_key = $dir/ca_key.pem

randfile = /dev/urandom

default_bits = 4096

default_days = 36500

default_crl_days = 36500

default_md = sha512

#unique_subject = no

policy = policy_anything

[ policy_anything ]

countryname = optional

stateorprovincename = optional

localityname = optional

organizationname = supplied

organizationalunitname = optional

commonname = supplied

emailaddress = optional

[ req ]

distinguished_name = req_distinguished_name

string_mask = utf8only

[ req_distinguished_name ]

[ v3_ca ]

subjectkeyidentifier = hash

authoritykeyidentifier = keyid:always,issuer

basicconstraints = critical,ca:true

certificatepolicies=ia5org,@pl_section

[ server_cert ]

subjectkeyidentifier = hash

authoritykeyidentifier = keyid:always,issuer

basicconstraints = ca:false

extendedkeyusage = serverauth,mssgc,nssgc

certificatepolicies=ia5org,@pl_section

subjectaltname = @dns_names

[ dns_names ]

dns.1 = my.domain.com

dns.2 = your.domain.net

ip.1 = 1.2.3.4

ip.2 = 5.6.7.8

[ user_cert ]

subjectkeyidentifier = hash

authoritykeyidentifier = keyid:always,issuer

basicconstraints = ca:false

#subjectaltname = email:copy

extendedkeyusage = clientauth,emailprotection,timestamping

certificatepolicies=ia5org,@pl_section

[ pl_section ]

policyidentifier = "x509v3 any policy"

# 颁发者说明的链接. windows中,要导入信任之后才生效.

cps.1 = https://your.web.com/cps/readme.html

usernotice.1=@pl_notice

[ pl_notice ]

# 颁发者说明,issuer statment. 不支持utf8中文,因为ia5org。

explicittext="read deail at https://your.web.com/xxx.html"

usernotice.1 的文字说明,只能是英文,中文会乱码。

文字说明,无论此证书是否被系统信任,查看证书时都会出现在"颁发者说明"中(issuer statement)。

cps.1 的链接。系统未信任此证书时,是不显示的。信任后,才会出现在"颁发者说明"中(issuer statement)。

cps.1= 可以是 "http://" 也可以是 "https://"。

只有一个域名,就只写 dns.1=,其他的不要了。

有多个域名,配置中就写 dns.1= , dns.2= , dns.3= ... dns.9=

可以写通配符域名,dns.1=*.mydom.org,

将匹配所有以 .mydom.org 的所有域名。如: abc.mydom.org , www.mydom.org ...

但不匹配 mydom.org

所以通配符域名一般写两行 dns.1=mydom.org , dns.2=*.mydom.org

使用方法,只使用这两个命令:

new-ca.sh 创建自签名root证书。

new-server.sh 创建web用的服务器证书。

这三个文件,就是用于配置web服务器需要的证书。

ca_cert.pem , server_cert.pem , server_key.pem

如需要,参考以下证书格式转换的指令:

查看/打印 pem 证书

openssl x509 -in ca_cert.pem -text -noout

openssl x509 -in server_cert.pem -text -noout

把 pem 转为 der 格式,(证书,密钥)

openssl x509 -outform der -in server_cert.pem -out server.cer 服务器证书。

openssl rsa -in server_key.pem -outform der -out server_key.cer 服务器密钥。

把 pem 转为 p12 格式(pfx),(证书,密钥)

openssl pkcs12 -export -out server.p12 -inkey server_key.pem -in server_cert.pem -certfile ca_cert.pem

把 p12 转 jks,

用java的 keytool 工具转换/导入

把 pem 转 pkcs#7 格式,(证书)

openssl crl2pkcs7 -nocrl -certfile server_cert.pem -out server.p7b

不想用自签名证书,那去网上申请一个免费服务器证书吧:

转载请注明来源。

来源: 来自

--------- end ---------

Gyrolt
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
从零开始构建支持TLS1.2的Web服务器Linux版(三)创建安装免费的HTTPS证书
努力 - 让今天比昨天多进步一点点
07-31 4301
本文的大部分操作参考Jerry Qu的Let’s Encrypt,免费好用的 HTTPS 证书,不过原文配置的HTTP服务是Nginx,本文是Tomcat9,如果你使用的也是Nginx,请移步Let’s Encrypt,免费好用的 HTTPS 证书,如果大家在使用时,发现什么问题,也欢迎在评论区一起讨论。
配置基于linux的安全Web服务器
a1168wdx的博客
12-26 263
配置基于linux的安全Web服务器
linux一键ssl环境,通用Linux Apache Web环境配置SSL证书方法整理
weixin_31188325的博客
05-04 236
老左在之前的关于SSL证书安装文章,基本上都是在Nginx环境完成证书的申请和安装的,关于Apache环境的安装SSL证书比较少。还是前几天有一个网友项目是需要在Apache环境需要配置自己申请的证书,则不好类似Let's Encrypt自动在他的面板申请(好歹人家是购买的付费证书)。不管我们是用的一键包LAMP,还是我们用的宝塔面板,其实安装的方法都是类似的,只不过有些配置文件并不是在特...
基于OpenSSL的安全Web Server实现
王陈锋的博客
01-01 2032
(2)Server能够并发处理多个请求,要求至少能支持Get命令。可以增加Web Server的功能,如支持Head、Post及Delete命令等;(3)编写必要的客户端测试程序,用户发送HTTPS请求并返回结果,也可以使用一般的浏览器程序。(1)在理解HTTPS及SSL工作原理的基础上,实现安全的Web Server。在编写的网页上,上传图片,测试Server是否能够成功处理命令。熟悉软件安全需求分析方法,掌握软件安全分析技术。在项目-属性-C/C++这边,选择SDL检查否。3、安装VS2019。
[转]如何创建一个自签名的SSL证书(X509)
dawu9085的博客
01-06 785
原文出自:http://www.joyios.com/?p=47 引言 使用HTTP(超文本传输)协议访问互联网上的数据是没有经过加密的。也就是说,任何人都可以通过适当的工具拦截或者监听到在网络上传输的数据流。但是有时候,我们需要在网络上传输一些安全性或者私秘性的数据,譬如:包含信用卡及商品信息的电子订单。这个时候,如果仍然使用HTTP协议,势必会面临非常大的风险!相信没有人能接受自...
Rockey LinuxOpenSSL制作自签名CA证书应用
最新发布
07-13
### Rocky LinuxOpenSSL制作自签名CA证书应用 在当今高度数字化的世界,网络安全变得尤为重要。其证书的使用是确保网络通信安全的关键之一。本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自...
Linux下使用openssl制作CA证书颁发[参考].pdf
10-11
这将涉及到创建 CA生成私钥和自签名证书、颁发数字证书、吊销证书生成证书吊销列表文件(CRL)等步骤。 标签解释 软件开发是指使用计算机语言和工具来设计、开发、测试和维护软件系统的过程。在这个过程,...
基于opensslCA证书服务器 你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书
01-06
你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书续期、证书吊销列表等。它可以生成多种类型的证书,包括且不限于web服务器、代码、计算机、客户端、信任列表、时间戳...
本地ssl证书生成工具
03-19
- 自签发证书:使用`openssl x509`命令,使用之前生成的私钥对证书请求进行签名生成签名的SSL证书。 - 安装证书:将生成证书安装到本地的信任存储或服务器上。 4. 测试环境的应用: 在本地开发和测试环境...
证书工厂:易于使用的macOS应用程序,用于生成签名的X.509证书和密钥
02-28
"证书工厂"是一个专为macOS用户设计的应用程序,旨在简化自签名X.509证书的创建过程,避免了使用复杂的命令行工具,如OpenSSL,所带来的技术挑战。 **X.509证书基础知识** X.509证书包含了持有者的公开密钥以及...
Nginx生成一个自签名的SSL证书脚本
11-18
Nginx生成一个自签名的SSL证书脚本
Java基于BC生成X509v3证书,以及部分扩展Extension的使用
07-09
Java基于BC生成X509v3证书,以及部分扩展Extension的使用,如:BasicConstraints、CRLDIstPoint、CertificatePolicies、PolicyMappings、KeyUsage、ExtendedKeyUsage、SubjectAlternativeName、AuthorityInfoAccess、AuthorityKeyIdentifier、SubjectKeyIdentifier、NameConstraints。
如何在Linux环境下给Web应用配置HTTPS证书
啊哈的博客
08-29 772
通过遵循以上步骤,在Linux环境下为你的Web应用程序配置HTTPS证书是相对简单和有效的。这将提供更高级别的数据传输安全性和用户信任度。希望本文能够帮助你成功实现HTTPS加密!
linux 服务器证书,Linux下自建单向证书搭建https服务器
weixin_42502896的博客
04-29 407
前言搭建https有两种方式,分为单向认证和双向认证。单向认证就是传输的数据加密过了,但是不会校验客户端的来源,也就只有客户端验证服务端证书生成单向证书建立服务器私钥,生成RSA秘钥。过程会要求输入密码,记住你输入的密码。ubuntu@ip-172-31-23-98:~$ openssl genrsa -des3 -out server.key 2048Generating RSA priva...
OpenSSL 开启 TLS1.3
热门推荐
Network/Storage/Linux Kernel
11-19 1万+
TLS 1.3协议详解:https://blog.csdn.net/mrpre/article/details/81532469   1:github下载 对于的代码 https://github.com/openssl/openssl 2:./config enable-tls1_3 & make & sudo make install   1:若发现 install ...
网络系统管理赛项-Linux服务部署(CA+WEB
m0_57898451的博客
11-16 2165
网络系统管理赛项-Linux服务部署
企业CA应用之--Web服务器申请证书(完美版)
weixin_34310369的博客
08-11 1063
1.应用环境:XX公司有一个Web站点,域名为[url]www.dongfang.com[/url],启用的身份验证方式是基本身份方式。由于该网站有公司敏感数据,因此公司希望用户访问时,保证用户密码和访问的数据在传输时的安全性(信息不能被协议分析工具破解出来)。 2.拓扑图: 3.步骤: (1)安装证书服务:(注意证书服务必须是建立在安装IIS服务的基础上的。) ...
身份认证之PKI搭建、X.509(RFC5280)——(一)
weixin_43255133的博客
11-13 7127
身份认证之PKI搭建、X.509(RFC5280)——(一) 一.PKI的搭建1.创建根CA1.1创建目录1.2创建数据库1.3 生成Root CA请求1.4生成Root CA证书2.创建 Signing CA2.1创建目录2.2创建数据库2.3创建Signing CA请求2.4创建Signing CA证书3.使用CA证书3.1创建email请求3.2创建email证书3.3 TLS服务器请求3....
如何做:在 Web 服务器上设置 SSL
边城浪子的专栏
06-22 2004
安全套接字层 (SSL) 是一套提供身份验证、保密性和数据完整性的加密技术。SSL 最常用来在 Web 浏览器和 Web 服务器之间建立安全通信通道。它也可以在客户端应用程序和 Web 服务之间使用。 要求 以下各项介绍了推荐的硬件、软件、网络基础结构、技巧和知识以及您需要的服务包。 ●   Microsoft? Windows? 2000 Server操作系统 (Service Pack 2)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值