基于openssl工具完成自建CA以及为server,client颁发证书

已于 2024-06-23 17:13:14 修改
阅读量2.7k 收藏 32
点赞数 5
分类专栏: PKI身份认证 文章标签: pki https openssl ca证书 c语言
于 2021-06-03 17:49:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42700740/article/details/117527769
版权

文章目录

一.openssl简介

  openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。
官网:openssl官网

1.1 主要构成部分

1.密码算法库(对称加密、非对称加密、HASH运算等)
2.密钥和证书封装管理功能(证书申请、颁发、撤销)
3.SSL通信API接口(https通信SSL接口)

1.2 openssl用途

1.建立 RSA、DH、DSA key 参数
2.建立 X.509 证书、证书签名请求(CSR)和CRLs(证书撤销列表)
3.计算消息摘要HASH
4.使用各种 Cipher加密/解密
5.SSL/TLS 客户端以及服务器的测试
6.处理S/MIME 或者加密邮件

1.3 证书、密钥、CSR请求文件、CRL列表 查看命令

证书查看:

openssl x509 -in cert.crt -noout -text

私钥查看:

openssl rsa -text -in server.key

公钥查看:

openssl rsa -pubin -in pcapubkey.pem -text -noout

CSR查看:

openssl req -text -in server.csr -noout

CRL列表查看:

openssl crl -in testca.crl -text -noout

二.RSA密钥操作

2.1密钥生成

默认情况下,openssl 输出格式为 PKCS#1-PEM
生成RSA私钥(无加密):

openssl genrsa -out rsa_private.key 2048

生成RSA公钥:

openssl rsa -in rsa_private.key -pubout -out rsa_public.key

生成RSA私钥(使用aes256加密):

openssl genrsa -aes256 -passout pass:123456 -out rsa_aes_private.key 2048

其中 passout 代替shell 进行密码输入,否则会提示输入密码;
生成加密后的内容如:

-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: AES-256-CBC,5584D000DDDD53DD5B12AE935F05A007
Base64 Encoded Data
-----END RSA PRIVATE KEY-----

此时若生成公钥,需要提供密码

openssl rsa -in rsa_aes_private.key -passin pass:111111 -pubout -out rsa_public.key

其中 passin 代替shell 进行密码输入,否则会提示输入密码;

将需要输入密码使用的.key私钥文件转成不需要输入密码的.key文件(其实就是使用passin将密码提前输入了):

openssl rsa -in client.key -passin pass:222222 -out client.key

从证书中提取私钥:

openssl x509 -in rca.cer -pubkey -noout > rcapubkey.pem

2.2 转换命令

私钥转非加密:

openssl rsa -in rsa_aes_private.key -passin pass:111111 -out rsa_private.key

私钥转加密:

openssl rsa -in rsa_private.key -aes256 -passout pass:111111 -out rsa_aes_private.key

私钥PEM转DER:

openssl rsa -in rsa_private.key -outform der-out rsa_aes_private.der

-inform和-outform 参数制定输入输出格式,由der转pem格式同理。

pem转crt格式:

openssl x509 -in fullchain.pem -out fullchain.crt

pem转key格式:

openssl rsa -in privkey.pem -out privkey.key

查看私钥明细(使用-pubin参数可查看公钥明细):

openssl rsa -in rsa_private.key -noout -text

私钥PKCS#1转PKCS#8

openssl pkcs8 -topk8 -in rsa_private.key -passout pass:111111 -out pkcs8_private.key

其中-passout指定了密码,输出的pkcs8格式密钥为加密形式,pkcs8默认采用des3 加密算法,内容如下:

-----BEGIN ENCRYPTED PRIVATE KEY-----
Base64 Encoded Data
-----END ENCRYPTED PRIVATE KEY-----

使用-nocrypt参数可以输出无加密的pkcs8密钥,如下:

-----BEGIN PRIVATE KEY-----
Base64 Encoded Data
-----END PRIVATE KEY-----

2.3 使用公私钥进行密码学运算

1.私钥的生成

openssl genras -out private.pem 2048

2.使用私钥生成公钥

openssl rsa -in ./private.pem -pubout -out public.pem

3.使用公钥对文件进行加密

openssl rsautl -encrypt -in ./a.txt -inkey public.pem -pubin -out message.en

4.使用私钥对加密文件进行解密

openssl rsautl -decrypt -in ./message.en -inkey private.pem -out message.txt

5.使用私钥对文件进行签名

openssl dgst -sign private.pem -md5 -out message.sign a.txt

6.使用公钥对签名后的文件进行验签

openssl dgst -verify public.pem -md5 -signature message.sign a.txt

7.摘要算法

openssl dgst -sha1 file.txt		//只计算摘要,不导出文件
openssl sha1 file.txt			//只计算摘要,不导出文件
openssl sha1 -out digest.txt file.txt	//导出文件

三.生成自签名证书

3.1 生成 RSA 私钥和自签名证书

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt

  其中req是证书请求的子命令,-newkey rsa:2048 -keyout private_key.pem 表示生成私钥(PKCS8格式),-nodes 表示私钥不加密,若不带参数将提示输入密码;-x509表示输出证书,-days365 为有效期,此后根据提示输入证书拥有者信息;
若执行自动输入,可使用-subj选项:

openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"

3.2 使用 已有RSA 私钥生成自签名证书

openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt

-new 指生成证书请求,加上-x509 表示直接输出证书,-key 指定私钥文件,其余选项与上述命令相同。

四.生成签名请求及CA 签名

4.1 使用 RSA私钥生成 CSR 签名请求

openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
openssl req -new -key server.key -out server.csr

此后输入密码、server证书信息完成,也可以命令行指定各类参数

openssl req -new -key server.key -passin pass:111111 -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vivo.com/emailAddress=yy@vivo.com"

*** 此时生成的 csr签名请求文件可提交至 CA进行签发 ***

4.2 查看CSR 的细节

cat server.csr
-----BEGIN CERTIFICATE REQUEST-----
Base64EncodedData
-----END CERTIFICATE REQUEST-----
openssl req -noout -text -in server.csr

4.3 使用 CA 证书及CA密钥 对请求签发证书进行签发,生成 x509证书

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -passin pass:111111 -CAcreateserial -out server.crt

其中 CAxxx 选项用于指定CA 参数输入

五.证书查看及转换

查看证书细节:

openssl x509 -in cert.crt -noout -text

转换证书编码格式:

openssl x509 -in cert.cer -inform DER -outform PEM -out cert.pem

合成 pkcs#12 证书(含私钥)

将 pem 证书和私钥转 pkcs#12 证书 :

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 -password pass:111111 -out server.p12

其中-export指导出pkcs#12 证书,-inkey 指定了私钥文件,-passin 为私钥(文件)密码(nodes为无加密),-password 指定 p12文件的密码(导入导出)。

将 pem 证书和私钥/CA 证书 合成pkcs#12 证书:

openssl pkcs12 -export -in server.crt -inkey server.key -passin pass:111111 \
-chain -CAfile ca.crt -password pass:111111 -out server-all.p12

其中-chain指示同时添加证书链,-CAfile 指定了CA证书,导出的p12文件将包含多个证书。(其他选项:-name可用于指定server证书别名;-caname用于指定ca证书别名)

pcks#12 提取PEM文件(含私钥) :

openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -out out/server.pem

其中-password 指定 p12文件的密码(导入导出),-passout指输出私钥的加密密码(nodes为无加密)。

导出的文件为pem格式,同时包含证书和私钥(pkcs#8):

Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 	1F 79 40 
subject=/C=CN/ST=GD/L=SZ/O=vihoo/OU=dev/CN=vihoo.com/emailAddress=yy@vihoo.com
issuer=/C=CN/ST=GD/L=SZ/O=viroot/OU=dev/CN=viroot.com/emailAddress=yy@viroot.com
-----BEGIN CERTIFICATE-----
MIIDazCCAlMCCQCIOlA9/dcfEjANBgkqhkiG9w0BAQUFADB5MQswCQYDVQQGEwJD
1LpQCA+2B6dn4scZwaCD
-----END CERTIFICATE-----
Bag Attributes
localKeyID: 97 DD 46 3D 1E 91 EF 01 3B 2E 4A 75 81 4F 11 A6 E7 1F 79 40 
Key Attributes: <No Attributes>
-----BEGIN ENCRYPTED PRIVATE KEY-----
MIIEvAIBADANBgkqhkiG9w0BAQEFAASCBKYwggSiAgEAAoIBAQDC/6rAc1YaPRNf
K9ZLHbyBTKVaxehjxzJHHw==
-----END ENCRYPTED PRIVATE KEY-----

仅提取私钥:

 openssl pkcs12 -in server.p12 -password pass:111111 -passout pass:111111 -nocerts -out out/key.pem

仅提取证书(所有证书):

 openssl pkcs12 -in server.p12 -password pass:111111 -nokeys -out out/key.pem

仅提取ca证书:

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -cacerts -out out/cacert.pem

仅提取server证书:

openssl pkcs12 -in server-all.p12 -password pass:111111 -nokeys -clcerts -out out/cert.pem

六.基于OPENSSL自建CA,同时为server,client颁发证书

6.1 自建CA

  在进行https通信时需要做双向认证,我们可以利用自己建立的测试CA来为服务器端颁发服务器数字证书,为客户端(浏览器)生成文件形式的数字证书(可以同时利用openssl生成客户端私钥)。

6.1.1 1 创建CA需要用到的目录和文件

随便找个目录比如/home,在该目录下创建自建CA所需要用的文件夹:

mkdir testca
cd testca
mkdir newcerts private conf    //创建证书、私钥、配置文件夹备用
chmod g-rwx,o-rwx private      //设置private文件夹的操作权限,为group和other均可读写、执行
echo "01" > serial             //用于存放下一个证书的序列号
touch index.txt					//用于存放证书信息数据库
mkdir newcerts private conf    //创建证书、私钥、配置文件夹备用
chmod g-rwx,o-rwx private  	 //设置private文件夹的操作权限,为group和other均可读写、执行
echo "01" > serial            	 //用于存放下一个证书的序列号
touch index.txt					//用于存放证书信息数据库

说明:
  testca为待建CA的主目录。其中newcerts子目录将存放CA签署(颁发)过的数字证书(证书备份目录)。而private目录用于存放CA的私钥。目录conf只是用于存放一些简化参数用的配置文件
  文件serial和index.txt分别用于存放下一个证书的序列号和证书信息数据库。当然,偷懒起见,可以只用按照本文操作即可,不一定需要关心各个目录和文件的作用。

6.1.2 生成CA的私钥和自签名证书(即根证书,自建CA需要生成私钥和CA证书)

创建文件:(在conf文件夹下:)
gedit gentestca.conf
文件内容如下:

####################################
[ req ]
default_keyfile = /home/testca/private/cakey.pem		#需要修改为自己的实际路径
default_md = md5
prompt = no
distinguished_name = ca_distinguished_name
x509_extensions = ca_extensions

[ ca_distinguished_name ]
organizationName = TestOrg          				 #可以自定义CA的信息
organizationalUnitName  = TestDepartment  		 #可以自定义CA的信息
commonName = TestCA								#可以自定义CA的信息
emailAddress = ca_admin@testorg.com   			#可以自定义CA的信息

[ ca_extensions ]
basicConstraints = CA:true
########################################

进入testca目录下然后执行命令如下(生成X509的CA证书):

openssl req -x509 -newkey rsa:2048 -out cacert.pem -outform PEM -days 2190 -config "/home/testca/conf/gentestca.conf"

执行过程中需要输入CA私钥的保护密码,假设我们输入密码:123456。
简单解释:CA使用自己的私钥cakey.pem(在gentestca.conf文件中指定)按照gentestca.conf文件中的规则自签名生成证书。

可以用如下命令查看一下CA自己证书的内容:

openssl x509 -in cacert.pem -text -noout

6.1.3 创建一个配置文件,以便后续CA日常操作中使用(为其他请求签发证书时的配置):

在conf文件夹下创建文件:

gedit testca.conf

文件内容如下:

####################################
[ ca ]
default_ca      = testca                   # 按需修改

[ testca ]										 # 按需修改
dir            	= /home/testca   		# top dir,按实际给出
database       	= $dir/index.txt          # index file.
new_certs_dir  	= $dir/newcerts           # new certs dir

certificate    		= $dir/cacert.pem         	# The CA cert
serial         		= $dir/serial             		# serial no file
private_key    	= $dir/private/cakey.pem  	# CA private key
RANDFILE       	= $dir/private/.rand      	# random number file

default_days   = 365                     	# how long to certify for
default_crl_days= 30                     	# how long before next CRL
default_md     = md5                    	 # message digest method to use
unique_subject = no                      	# Set to 'no' to allow creation of
                                     			# several ctificates with same subject.
policy         = policy_any              	# default policy

[ policy_any ]
countryName             = optional
stateOrProvinceName     = optional
localityName            = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional
 
########################################

6.2 CA的常规操作

  在我们自建CA完成之后,就相当于有了一个证书颁发机构,可以执行如下的一些常规操作:

6.2.1 根据证书申请请求签发证书(为其他请求签发证书)

  假设收到一个证书请求文件名为req.pem,文件格式应该是PKCS#10格式(标准证书请求格式)。
首先可以查看一下证书请求的内容,执行命令:

openssl req -in req.pem -text -noout

  将看到证书请求的内容,包括请求者唯一的名字(DN)、公钥信息(可能还有一组扩展的可选属性)。

执行签发命令:

openssl ca -in req.pem -out cert.pem -config "/home/testca/conf/testca.conf"

  执行过程中会要求输入访问CA的私钥密码(刚才设置的123456)。
  签发命令简单解释:实际上就是请求方将自己的请求文件req.pem发给CA,CA按照之前写好的配置文件testca.conf中的规则给请求方生成证书cert.pem。

  完成上一步后,签发好的证书就是cert.pem,另外/home/testca/newcerts里也会有一个相同的证书副本(文件名为证书序列号)。

你可以执行以下语句来查看生成的证书的内容:

openssl x509 -in cert.pem -text -noout

6.2.2 吊销证书(作废证书)

  一般由于用户私钥泄露等情况才需要吊销一个未过期的证书。(当然我们用本测试CA时其时很少用到该命令,除非专门用于测试吊销证书的情况)
假设需要被吊销的证书文件为cert.pem,则执行以下命令吊销证书:

openssl ca -revoke cert.pem -config "$HOME/testca/conf/testca.conf"

6.2.3 生成证书吊销列表文件(CRL)

  准备公开被吊销的证书列表时,可以生成证书吊销列表(CRL),执行命令如下:

openssl ca -gencrl -out testca.crl -config "$HOME/testca/conf/testca.conf"

  还可以添加-crldays和-crlhours参数来说明下一个吊销列表将在多少天后(或多少小时候)发布。

  可以用以下命令检查testca.crl的内容:

openssl crl -in testca.crl -text -noout

6.3 CA为server签发证书

任意路径下创建一个文件夹server:

mkdir sever

生成server的私钥server.key及证书申请的请求文件serverreq.pem:

openssl req -newkey rsa:1024 -keyout server.key -out serverreq.pem -subj "/O=ServerCom/OU=ServerOU/CN=server"

设置私钥保护密码为:111111
解释:server生成请求文件serverreq.pem之后就可以将这个文件发送给CA申请证书了,操作如下:

提交serverreq.pem向CA申请证书并生成证书server.crt:

openssl ca -in serverreq.pem -out server.crt -config "/home/testca/conf/testca.conf"

解释:可以看出-in表示提交给CA的文件,就是申请文件,-out表示输出文件就是server的证书server.crt,其中生成证书的规则-config是按照之前CA定义的testca.conf文件,这里路径不要写错。
至此,server证书申请成功,可以看到共有三个文件:
在这里插入图片描述
同时,在CA目录下newcerts目录下也生成了该证书的备份:01.pem,这和备份的内容和生成的证书server.crt完全一致。

6.4 CA为client签发证书

client的证书生成方式和server完全一致,这里就不在赘述。

6.5 server和client基于证书完成https通信

  https通信需要完成证书验证,我们在上面以及自建了CA,并为server和client颁发了证书,因此可以基于证书验证实现https通信测试了。具体代码设计可见下一篇博客。

五. 感谢支持

    完结撒花!密码学实属复杂深奥的问题,不仅在原理上难以理解,在代码实现上更是难的一批,写这篇文章花了我很大精力。希望看到这里的小伙伴能点个关注,我后续会持续更新更多关于密码学原理分析和实现,也欢迎大家广泛交流。
    码字实属不易,如果本文对你有10分帮助,就赏个10分把,感谢各位大佬支持!

在这里插入图片描述

tutu-hu
关注
  • 5
    点赞
  • 32
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
专栏目录
使用openssl生成CAserverclient私钥和证书证书包括公钥)
weixin_39991993的博客
04-05 7893
参考:SSL证书制作并使用NodeJs进行HTTPS认证配置 - 苍青浪 - 博客园 1. 生成CA证书及私钥: 1)生成一个私钥为ca-key.pem openssl genrsa -out ca-key.pem -des 1024 ca私钥使用:tfo0zQ1JiP3PeZQVAzMy 【后面也会用到】 2)根据秘钥ca-key.pem生成一个证书签名请求文件ca-csr.pem,根据这个文件可以签出秘钥对应的证书。在这里会要求填入相关信息,可以用“.”表示为空,但Common Name必须要填
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
在网络安全中,OpenSSL 是一个强大的安全套接层 (SSL) 工具包,它包含了各种用于处理加密通信所需的工具,包括生成证书、密钥以及执行加密操作。本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和...
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8685
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
使用 openssl 获取服务器证书
merry1996的博客
07-14 4475
文章目录读取服务器的 CA 证书生成服务器的 CA 证书 读取服务器的 CA 证书 Root cert for howsmyssl.com, taken from howsmyssl_com_root_cert.pem The PEM file was extracted from the output of this command: openssl s_client -showcerts -connect www.howsmyssl.com:443 </dev/null The C
Using OpenSSL to create CA and client certificates
一尘在心的博客
04-24 380
Topic This article applies to BIG-IP 11.x through14.x. For information about other versions, refer to the following article: K4877: Using OpenSSL to create CA and client certificates (9.x - 10.x) Y...
openssl——serverclient
嵌入式萌新_博客
08-13 6922
一. openssl中的s_server命令与s_client命令 1.1 s_server的man函数         NAME        s_server - SSL/TLS server program   SYNOPSIS        openssl s_server [-accept port] [-context id] [-verify depth] [-Ver...
服务器拉取openssl文件,使用openssl从服务器获取证书
weixin_28831341的博客
08-13 294
我正在尝试获取远程服务器的证书,然后可以将其用于添加到我的密钥库中并在我的Java应用程序中使用。一位资深开发人员(正在度假:()告诉我可以运行此程序:openssl s_client -connect host.host:9999为了获得原始证书,我可以将其复制并导出。我收到以下输出:depth=1 /C=NZ/ST=Test State or Province/O=Organization N...
基于 OpenSSLCA 建立及证书签发
wuwentao2000的专栏
04-11 633
前段时间研究了一下 SSL/TLS ,看的是 Eric Rescorla 的 SSL and TLS - Designing and Building Secure Systems 的中文版(关于该中文版的恶劣程度,我在之前的一篇 Blog 中已做了严厉的批判)。本书的作者沿袭了 Stevens 在其神作 TCP/IP Illustrated 中的思想:使用网络嗅探进行协议演示。不同的是,作者并没
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
本主题将详细讲解如何在Linux平台上使用OpenSSL工具生成CA(Certificate Authority)证书,以及涉及的相关文件类型和配置。 首先,让我们了解什么是CA证书CA证书是由受信任的证书颁发机构(如上述的CA)签发的,...
openssl证书自签
09-01
OpenSSL 证书自签名、HTTPS 证书生成原理和部署细节 本文主要介绍了 OpenSSL 证书自签名的原理和...通过使用 OpenSSL 生成密钥和证书,我们可以自己扮演 CA 机构,自己给自己的服务器颁发证书,从而确保数据的安全。
openSSL工具
10-01
- SSL/TLS协议分析:OpenSSL的`s_client`和`s_server`工具可用于检查服务器的SSL配置,进行安全测试。 总的来说,OpenSSL是IT专业人士不可或缺的工具,它在网络安全、服务器配置和数据加密等方面发挥着重要作用。...
openssl 生成client.jks与server.jks文件的方法
07-05
openssl 生成 client.jks 与 server.jks 文件的方法 在 WS 安全性设计中,使用 OpenSSL 生成 client.jks 与 server.jks 文件是非常必要的。下面我们将详细介绍如何使用 OpenSSL 生成这两个文件。 Step 1: 创建证书...
基于 OpenSSL 自建 CA颁发 SSL 证书
ximenghappy的专栏
02-08 4081
基于 OpenSSL 自建 CA颁发 SSL 证书原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS证书的需求随之增加。那么对于我们开发者,通过自签名证书...
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
热门推荐
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证书client证书client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
我实践:自建CA证书颁发(openssl)
超级无敌棒棒糖
09-30 828
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
java openssl ca_HttpsOpenSSL自建CA证书及签发证书、nginx单向认证、双向认证及使用Java访问...
weixin_34769715的博客
03-04 221
0.环境安装了nginx,安装了openssl1.配置和脚本先创建一个demo目录(位置自己选择,我选择建在nginx的目录下):mkdir /etc/nginx/ca-democd/etc/nginx/ca-demo修改SSL配置openssl.cnf(也可能是openssl.conf,不知道在哪可以用find -name / openssl.cnf查找)将dir属性改成你上一步自建的目录,不要...
openssl自建CA服务器自签证书服务器
松果177的博客
07-27 744
自建CA服务器自签证书服务器 一、配置证书服务器模板 #修改openssl.cnf文件 vi /etc/pki/tls/openssl.cnf #确保[ req ]下存在以下两行 [ req ] distinguished_name = req_distinguished_name req_extensions = v3_req #确保[ req_distinguished_name ]下没有 0.xxx 的标签,有的话把0.xxx的0.去掉 #[ v3_req ]最后一行新增如下一行内容 [
Conmi的正确答案——linux的openssl指令-subj的解析
Conmi的博客
12-02 2041
CN : 通用名/常用名/服务器域名 【Common Name (e.g. server FQDN or YOUR name)】OU : 组织单位名称(或部门名) 【Organizational Unit Name (eg, section)】ST : 州或省名称 【State or Province Name (full name)】O : 组织名(或公司名) 【Organization Name (eg, company)】系统:Ubuntu 22.04。
https改造-python https 改造
最新发布
杨杨杨~~的博客
07-24 292
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
openssl怎么检查证书是否有效
05-27
您可以使用openssl命令行工具来检查Minio服务器的SSL证书是否有效。具体步骤如下: 1. 打开终端或命令行界面,输入以下命令: ``` openssl s_client -connect your_minio_server_url:443 ``` 其中,your_minio_server_url是您的Minio服务器的域名或IP地址。 2. 如果证书有效,终端会输出证书的详细信息,包括证书颁发机构、有效期等。如果证书无效,终端会输出错误信息,例如证书无效、证书已过期等。 例如: ``` Certificate chain 0 s:/C=US/ST=California/L=Palo Alto/O=Acme Inc/OU=IT/CN=minio.example.com i:/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert SHA2 Secure Server CA ... Verify return code: 0 (ok) ``` 如果您看到"Verify return code: 0 (ok)"的输出,表示证书有效。 如果您看到"certificate verify failed"或"unable to get local issuer certificate"的输出,表示证书无效或证书颁发机构未被信任。 这样就可以通过openssl命令行工具检查Minio服务器的SSL证书是否有效了。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tutu-hu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值