如何生成 `cert.pem` 和 `key.pem` 文件?

最新推荐文章于 2025-03-06 10:43:58 发布
最新推荐文章于 2025-03-06 10:43:58 发布
阅读量2.2k 收藏 24
点赞数 22
分类专栏: Ubuntu 文章标签: wsl Flask 证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42672685/article/details/144952252
版权

环境:

WSL2

Ubuntu22.04

Flask

问题描述:

如何生成 cert.pemkey.pem 文件?

解决方案:

要生成 cert.pemkey.pem 文件(SSL/TLS 证书和密钥),可以通过以下几种方式完成,选择适合您的需求的方式:

1. 使用 OpenSSL 生成自签名证书

这是最快速的方法,适用于本地开发和测试,但由于是自签名证书,浏览器和客户端会认为它不安全。

步骤:

  1. 安装 OpenSSL

    • 如果尚未安装 OpenSSL,可以通过以下方式安装:
      • Windows:通过 OpenSSL for Windows 下载并安装。
      • Linux(大多数发行版自带):
        sudo apt update && sudo apt install openssl
      • macOS(通过 Homebrew):
        brew install openssl

  2. 生成证书和私钥

    • 运行以下命令生成自签名证书 cert.pem 和私钥 key.pem

      openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout key.pem -out cert.pem

    • 参数说明:

      • -x509:生成 X.509 格式的证书。
      • -nodes:不加密私钥(避免输入密码)。
      • -days 365:证书的有效期为 365 天。
      • -newkey rsa:2048:生成一个 2048 位的 RSA 密钥。
      • -keyout key.pem:私钥输出到 key.pem 文件。
      • -out cert.pem:证书输出到 cert.pem 文件。

  3. 填写证书信息

    • 执行命令时,系统会提示您填写一些信息。例如:

      Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany
Organizational Unit Name (eg, section) []:IT
Common Name (e.g. server FQDN or YOUR name) []:192.168.168.77
Email Address []:admin@example.com

    • 注意:Common Name (CN) 应填写服务器的域名或 IP 地址,例如 192.168.168.77localhost,否则客户端会报错。
      在这里插入图片描述

  4. 生成成功

    • 运行成功后,当前目录下会生成:
      • key.pem:私钥文件。
      • cert.pem:证书文件。
        在这里插入图片描述

  5. 测试 Flask 使用自签名证书

    • 在 Flask 应用中启用 HTTPS:
      from flask import Flask

app = Flask(__name__)

@app.route('/')
def home():
    return "Hello, HTTPS!"

if __name__ == "__main__":
    app.run(ssl_context=('cert.pem', 'key.pem'))  # 使用生成的证书和私钥

2. 使用 Let’s Encrypt 生成免费证书(推荐用于生产环境)

如果服务器使用公网 IP,可以使用 Let’s Encrypt 提供免费证书。它是一个权威 CA(证书颁发机构),签发的证书会被浏览器和客户端信任。

步骤:

  1. 安装 Certbot
    Certbot 是一个自动化工具,用于生成和安装 Let’s Encrypt 证书。

    • Ubuntu/Debian

      sudo apt update
sudo apt install certbot python3-certbot-nginx

    • CentOS/RHEL

      sudo yum install certbot python3-certbot-nginx

    • macOS(通过 Homebrew):

      brew install certbot

  2. 获取证书

    • 如果您使用 Nginx 或 Apache,可以让 Certbot 自动配置 HTTPS:

      sudo certbot --nginx

      或:

      sudo certbot --apache

    • 如果您只是获取证书,而不自动配置服务器:

      sudo certbot certonly --standalone

    • Certbot 会提示您填写域名、邮箱等信息,并自动生成证书。

  3. 证书存储路径

    • 生成的证书默认存储在 /etc/letsencrypt/live/<your-domain>/ 目录下:
      • fullchain.pem:完整的证书链。
      • privkey.pem:私钥。

  4. 使用证书

    • 在 Flask 中使用 Let’s Encrypt 证书:
      app.run(ssl_context=('/etc/letsencrypt/live/<your-domain>/fullchain.pem', 
                     '/etc/letsencrypt/live/<your-domain>/privkey.pem'))

  5. 设置自动续期

    • Let’s Encrypt 证书有效期为 90 天,建议设置自动续期:
      sudo crontab -e
      添加以下任务,每天凌晨尝试续期:
      0 0 * * * certbot renew --quiet

3. 测试环境中忽略 HTTPS 验证(仅开发环境,不推荐)

在开发环境中,您可以强制忽略 HTTPS 验证,避免使用正式证书:

在 Flask 中忽略 HTTPS:

  1. 使用 Flask 的内置 HTTP 服务器,不配置 SSL:

    app.run()

  2. 在浏览器或客户端中允许访问不安全的 HTTPS:

    • Chrome
      • 在浏览器地址栏输入:
        chrome://flags/#allow-insecure-localhost
      • 启用 “Allow invalid certificates for resources loaded from localhost”。

4. 总结:选择适合的方式

使用场景方法
本地开发使用 OpenSSL 生成自签名证书。快速、简单,但客户端会提示不安全。
内网环境使用自签名证书,但手动将证书安装到每个客户端的信任列表中。
生产环境使用 Let’s Encrypt 生成免费证书,或从权威 CA(如 DigiCert、阿里云、腾讯云)购买正式证书。
测试环境(临时)在 Flask 或其他框架中直接启用 HTTP,或强制忽略 HTTPS 验证(仅用于开发/测试阶段)。

推荐的做法是:

  • 本地开发:使用自签名证书。
  • 生产环境:使用 Let’s Encrypt 或权威 CA 的证书,确保安全性和兼容性。
pem文件的生成
SSL88888的博客
12-07 1160
0702pem文件的生成 刚刚的笔记没了,因为电脑蓝屏了,我又没保存。现在再补回。 一开始问题是出在没理解demo里面引用的pem文件。拿来测试)(在demo里先签名,然后紧接着就验签),结果发现,验签失败。 后面想想,私钥是银联自己的,而公钥则是对方提供给银联的。因此,用银联的私钥去签名,而用对方的公钥进行验签,验签当然会失败。 然后,就要想办法自己去生成公私钥的pem文件。一开始很排斥,不想自...
golang 微信支付如何在http request中带上cert.pemkey.pem
fwhezfwhez的博客
09-30 1783
前言 对接微信零钱支付时,需要带上api证书。在已经下载了证书后,具备下述文件: apiclient_cert.p12 apiclient_cert.pem apiclient_key.pem 因为go目前不支持解析p12(博主没找到示例代码), 所以只能使用下面两个。 getClient := func() *http.Client { var wechatPayCert = "C:\\...
win11 安装openssl,生成私钥及证书文件
花花鱼的专栏
03-06 665
win11 安装openssl,生成私钥及证书文件
Linux 下Nginx SSL/HTTPS 配置
Software Architect
03-21 3842
使用OpenSSL生成证书1、生成RSA密钥的方法openssl genrsa -des3 -out privkey.pem 2048 这个命令会生成一个2048位的密钥,同时有一个des3方法加密的密码,如果你不想要每次都输入密码,可以改成:openssl genrsa -out privkey.pem 2048  建2、生成一个证书请求建议用2048位密钥,少于此可
关于证书pem的生成
ClayGuitar的专栏
11-24 1297
pem文件是服务器向苹果服务器做推送时候需要的文件,主要是做服务器的小伙伴们要用,下面介绍一下pem文件的生成。 打开Keychain Access,在Certificates里面找到上篇文章中介绍的包含推送的证书。分别将certificateprivate key导出得到.p12文件。例如:Apple Development Push Services > Export “Apple
生成pem文件
m0_46671092的博客
09-03 1503
我们使用openssl生成pem文件。 生成私钥pem文件:openssl genrsa -out rsa_private_key.pem‘2048’ 生成公钥pem文件(从私钥中提取):openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem 生成自签名证书:openssl req -new -x509 -key privkey.pem -out cacert.pem -days 3650 一条命令生成自签名证书:openss
openssl 生成 cert.key cert.pem
whatday的专栏
02-08 1860
SSL(Secure Socket Layer),为Netscape所研发,用以保障在Internet上数据传输的安全,利用数据加密(Encryption)技术,可确保数据在网络上的传输过程中不会被截取及窃听。一般通用的规格为40 bit的安全标准,美国则已推出128 bit的更高安全标准,但限制出境。只要3.0版本以上的I.E.或Netscape浏览器即可支持SSL。 SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL ...
MQTT连接中将 client.keyclient-cert.pemroot-cacert.pem文件从Asset中读出生成SslSocketFact
11-28
1. 加载私钥(client.key)公钥证书(client-cert.pem): ```java FileInputStream privateKeyStream = new FileInputStream("client.key"); InputStream certificateStream = new FileInputStream("client-cert....
keytool-importkeypair、platform.pk8、platform.x509.pem 系统签名文件
10-11
sh keytool-importkeypair -k ./platform.keystore -p android -pk8 platform.pk8 -cert platform.x509.pem -alias platform 具体也可以查看 https://blog.csdn.net/qq_20523943/article/details/109011484
在linux平台上生产证书.pem .key
wzjudy的专栏
06-24 2636
生成简单私钥命令: openssl genrsa -out cert.key 1024 私钥cert.key 的内容如下: -----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDYmZNXIOMqDu32pMUdpRPy0MgN56D5pJE5A0XpEh8+UBScAk0b nM/n5SvQ1UvGeyKmjKsrxAAjzwHrgWriNudaiAunqLYT8aEDizQjAv7f9cSUOOqi HbJObAJ/lQ7tCgPi+izurNrzfH.
cert Maker生成证书
01-08
生成证书,不能拿 用过fiddler的,大家都知道它的强大。不过每次打开它总会弹出提示更新的对话框,很烦!在设置里可以取消掉更新提示! 在fiddler正常使用的情况下,不建议去更新新版本。
openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 -nodes文件生成在哪
最新发布
03-20
根据引用[1]中的例子,命令里明确用到了-keyout-out参数来指定输出文件,这说明生成的key.pemcert.pem的位置是由这些参数决定的。 默认情况下,如果用户没有指定路径,这两个文件应该会被保存在当前工作目录下...
window下生成.pem文件
df981011512的博客
08-23 4606
首先我要先下载好东西,需要的东西 ①:perl 这玩意干嘛的呢?就是让你在windows环境下能跟linux环境一样编译安装东西 怎么下载安装perl? 先要访问这个地址https://www.activestate.com/products/activeperl/downloads/ 进到里面是不是懵逼了?不管它,点击你要的版本(我怕很多人不懂,所以下面的图有点...
PEM文件
鸭梨的博客
02-05 897
PEM文件是一种广泛使用的文本格式,用于存储传输加密密钥证书。其Base64编码明确的标记使其易于识别处理,适用于多种加密安全场景。
服务器证书pem格式文件是这样合成的!
u014532679的博客
08-04 839
首先,我看找到证书签发邮件,对于由digicert的直接授权CA机构天威诚信的签发邮件,则客户通过快速搜索发件人service@yunssl.com来快速找寻。找到后我们可以看到有两串代码,这两串代码分别就是我们需要的服务器证书CA证书(又叫中间证书) ,服务器证书通过组织验证域名验证后,就会以邮件的形式发送到技术负责人的指定邮箱,收到邮件后,对于Nginx的托管服务器中间件,一般这样操作可以合成需要的格式证书。最后,按照Nginx的配置指导,把相应的证书文件私钥文件上传,重启Nginx生效即可!
OpenSSL建立自己的CA
inter999的专栏
10-29 2138
(1) 环境准备首先,需要准备一个目录放置CA文件,包括颁发的证书CRL(Certificate Revoke List)。这里我们选择目录 /opt/ca。然后我们在/opt/ca下建立两个目录,certs用来保存我们的CA颁发的所有的证书的副本;private用来保存CA证书的私钥匙。CA的私钥匙很重要,至少需要2048位长度。建议保存在硬件里,或者至少不要放在网络中。除了生
Openssl生成pem格式的数字证书(适配win2000)
热门推荐
skjie的博客
11-12 1万+
在Openssl库生成数字证书总结(适配win2000)一文中我们已经实现了crt后缀证书的生成,现在说一下怎么生成pem后缀的证书。大体思路很简单,就是使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书serverclient。下面就来说一下实现的具体步骤: 一、命令行进入openssl的out32dll路径下,新建一个private文件夹用于放置我们生成的各种证书文件。 二、生成根证书 1、生成根证书私钥 -- ...
生成 server.pem server.key 文件
wj617906617的博客
07-27 781
使用openssl命令生成自签名证书密钥文件
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玩人工智能的辣条哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值