【使用OpenSSL生成CA证书及签发子证书】

最新推荐文章于 2024-05-08 07:37:37 发布
最新推荐文章于 2024-05-08 07:37:37 发布
阅读量1.5k 收藏 7
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42835221/article/details/124047290
版权

使用OpenSSL生成CA证书及签发子证书

目录

一、基础知识

  • OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcrypto。

  • .KEY 通常指私钥。

  • .CSR 是 Certificate Signing Request 的缩写,即证书签名请求,这不是证书,只是包含申请证书的基本信息。生成证书时要把这个提交给权威的证书颁发机构,颁发机构审核通过之后,再根据这些申请信息生成相应的证书。

  • .CRT 即 certificate的缩写,即证书。

  • X.509 是一种证书格式。对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。

  • X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:

  • .PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…“开头,”-----END…"结尾,内容是 BASE64 编码。Apache 和 *NIX 服务器偏向于使用这种编码格式。

  • .DER - Distinguished Encoding Rules,打开看是二进制格式,不可读。Java 和 Windows 服务器偏向于使用这种编码格式。

二、安装OpenSSL

1.下载地址

http://slproweb.com/download/Win64OpenSSL_Light-3_0_2.exe

三、生成一份 CA 根证书

1.创建私钥

openssl genrsa -out rootCA.key 1024

参数说明:

genrsa 使用 rsa 算法生成密钥。
-des3 (可选)加密密钥,此时需要设置密码,后续使用该密钥时需要验证密码才能使用。
-out 生成私钥文件。

2.生成证书请求文件(CSR)

openssl req -new -out rootCA.csr -key rootCA.key

参数说明:

x509 签发X.509格式证书命令。
-req 证书输入请求。
-days 证书有效天数。
-in 输入文件,这里是上一步生成的请求文件(.CSR)
-signkey 签名密钥(key)文件,由第一步生成。
-out 输出文件,生成证书文件(.CRT)。

3.自签署证书

正常的证书是你把上面生成的请求文件(.CSR)发送给可信机构(CA),让可信机构根据你的请求去生成和签署证书,再给你发回来。这里是自己给自己签署。

openssl x509 -req -sha1 -in rootCA.csr -out rootCA.crt -signkey rootCA.key -days 3650

参数说明:

req 产生证书签发申请命令。
-new 新的申请。
-key 输入的 key 文件,由第一步生成。
-out 输出为 CSR 文件,这是一个请求文件。
运行此命令后进入交互模式,需要输入一些证书信息。

一般需要输入的信息如下:

C 国家
ST 省份
L 市
O 机构
OU 部门
CN (Common Name) 一般是域名
emailAddress 邮箱

四、生成一份 CA 证书的子证书(跟)

总结

提示:这里对文章进行总结:

例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。

Java秃头老同志
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
OpenSSL生成的ssl证书
01-11
注意,虽然自签发证书对于测试和内部使用是足够的,但对于生产环境,建议使用权威证书颁发机构(CA签发证书,以提供更高的信任度和浏览器兼容性。在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践。
OpenSSL生成CA自签名证书和颁发证书证书提取
Javazzc123的专栏
11-03 4847
>openssl x509 -req -in xxx/xxx-req.csr -out xxx/xxx-cert.pem -signkey xxx/xxx-key.pem -CA ca/ca-cert.pem -CAkey ca/root-key.pem -CAcreateserial -days 3650 ##签署服务器证书。$>openssl req -new -out xxx/xxx-req.csr -key xxx/xxx-key.pem ##创建证书请求。
OpenSSL生成CA自签名证书和颁发证书
FLY的博客
08-05 6302
openssl ca
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 1334
自己签发CA证书签发服务器证书的场景非常简单。把CA证书导入到浏览器后,就可以信任由这个CA直接签发的服务器证书。但是实际上网站使用证书肯定都不是由CA直接签发的,比如像CSDN这种,网站使用证书就是由二级CA颁发的证书
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1515
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
http系列---OpenSSL生成证书CA签发证书
lipviolet的博客
11-02 1万+
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA证书,并用这个证书颁发两个证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: sudo yum install openssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文件openssl.cnf: locate openssl.cnf 如图,我这里的目录是/etc/pki/tls/openssl.cnf。 修改配置文件,修改其中的dir变量,重新设置SSL
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8516
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
4. 由CA签发中间CA证书使用CA的私钥对中间CA的CSR进行签名。 5. 生成服务器或客户端的私钥和CSR:为需要证书的实体(如服务器或客户端)生成私钥和CSR。 6. 由中间CA签发最终证书使用中间CA的私钥对这些CSR...
使用openssl生成单向ssl证书
04-04
通过以上步骤,你就成功地使用openssl生成了单向SSL证书,并将其应用于基于Boost.Asio的SSL通信测试。在实际生产环境中,通常会使用权威证书颁发机构签发证书,以提供更高的信任度和安全性。但在测试和开发阶段,...
使用openssl 生成免费证书的方法步骤
09-14
**数字证书**是数字签名的应用,它由权威的证书颁发机构(CA签发,包含了网站的公钥、有效期、域名等信息,并且有CA的数字签名。数字证书的存在确保了服务器的身份,客户端可以通过验证证书上的CA签名来确认服务器...
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书据文档可以自己生成证书
利用openssl自制CA证书
09-13
文档中详细介绍了如何利用openssl制作ca证书的步骤 代码则实现可将ca证书安装到浏览器的受信任证书的功能
openssl创建CA签发证书
健忘16的博客
02-16 3611
一、创建私有CA证书 1、创建CA目录 root@DESKTOP-JP3S3AN:/home/wsl/openssl_pro# mkdir -pv /etc/pki/CA/{private,certs,crl,newcerts} mkdir: created directory '/etc/pki/CA' mkdir: created directory '/etc/pki/CA/private' mkdir: created directory '/etc/pki/CA/certs' mkdir
Linux入门攻坚——22、通信安全基础知识及opensslCA证书
最新发布
kaoa000的专栏——非淡泊无以明志,非宁静无以致远
05-08 732
随机数生成器:熵池,用于存储随机数,随机数是由随机事件产生的,如敲击键盘、磁盘I/o等,两个伪设备,用于生成随机数。1、进入CA目录,生成CA的私钥,按照上面的配置CA目录是/etc/pki/CACA自己的私钥为/etc/pki/CA/private/cakey.pem。这个httpd.csr,就是一个待签发证书,所谓签发,就相当于CA用自己的印戳在这个文件上盖上印,实际就是CA用自己的密钥在这个文件上数字签名。不同的服务,不同的证书,不同的密钥,使用者先向RA申请生成密钥。
nginx反向代理cas-server之2:生成证书,centOS下使用openssl生成CA证书(证书、server证书、client证书)...
weixin_30603633的博客
04-29 224
前些天搭好了cas系统,这几天一致再搞nginx和cas的反向代理,一直不成功,但是走http还是测试通过的,最终确定是ssl认证证书这一块的问题,原本我在cas服务端里的tomcat已经配置了证书,并且能够使用了,但是现在我用nginx代理使用ssl与cas-server建立连接,就会失败(看了网上的大神(是不是真的大神先不管)说是nginx不支持与后台的加密连接的原因)。那么既然我ng...
OpenSSL自签名成CA服务与CA给服务器客户端生成证书
Yan_bb_5的博客
04-13 404
1.生成CA私钥,私钥中包含了公钥 openssl genrsa -out CA.key 2048 2.生成CA自签名证书请求文件 openssl req -new -key CA.key -out CA.csr -subj "/C=CN/ST=SC/L=CD/O=westone/OU=ops/CN=*.westone.com/emailAddress=yan.hai@qq.com" 3.生成CA自签名证书 openssl x509 -req -days 3650 -in CA.csr -sig...
openssl生成CA证书
热门推荐
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 证书 ...
24、OpenSSL生成CA证书及终端用户证书
LetsStudy的博客
03-15 4388
1、准备ca.conf配置文件 内容如下 [ req ] default_bits = 4096 distinguished_name = req_distinguished_name [ req_distinguished_name ] countryName = Country Name (2 letter code) countryName_default = CN stateOrProvinceName = Stat
通信双方使用openssl生成数字证书
05-18
使用 OpenSSL 生成数字证书需要遵循以下步骤: 1. 安装 OpenSSL 2. 生成私钥 使用以下命令生成私钥: ``` openssl genpkey -algorithm RSA -out private.key ``` 3. 生成证书请求 使用以下命令生成证书请求: ``` openssl req -new -key private.key -out request.csr ``` 在生成证书请求时,需要提供一些信息,如国家、州、城市、组织、通用名称等。这些信息将被写入证书请求中。 4. 使用证书请求获取数字证书证书请求发送到证书颁发机构 (CA),以获取数字证书证书颁发机构将验证请求中的信息,并签发数字证书。 5. 安装数字证书 将数字证书安装到需要使用它的应用程序中。可以将数字证书添加到证书存储库中,以便应用程序可以验证它所连接的服务器的身份。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值