使用openssl创建自签名证书以及单向认证程序实例

已于 2024-10-09 15:01:01 修改
阅读量489 收藏 5
点赞数 7
分类专栏: 网络通讯 文章标签: ssl 网络安全
于 2024-10-09 14:50:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44874963/article/details/142785752
版权

生成CA证书

创建CA私钥

openssl genrsa -out ca.key 2048

请求CA证书

openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/O=Private/CN=CA"

C-----国家(Country Name)
ST----省份(State or Province Name)
L----城市(Locality Name)
O----公司(Organization Name)
OU----部门(Organizational Unit Name)
CN----产品名(Common Name)
emailAddress----邮箱(Email Address)

自签署CA证书

openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

生成服务器证书

创建服务器私钥

openssl genrsa -out server.key 2048

请求服务器证书

openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/CN=SERVER" -addext "subjectAltName=DNS:www.mylocal.com,DNS:localhost"

使用CA证书签署服务器证书

openssl x509 -req -days 36500 -sha256 -extensions v3_req -extfile openssl.cnf -CA  ca.cer -CAkey ca.key  -CAserial ca.srl  -CAcreateserial -in server.csr -out server.cer

cat openssl.cnf
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[v3_req]
subjectAltName = @alt_names
[alt_names]
DNS.1 = www.mylocal.com
DNS.2 = localhost

如果不加-extfile openssl.cnf,会报Warning: ignoring -extensions option without -extfile; 并且签署的证书没有subjectAltName部分。

测试证书

服务器

openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 127.0.0.1:443

客户端

openssl s_client -CAfile ca.cer -connect 127.0.0.1:443

查看证书内容命令

openssl req -text -noout -in server.csr
openssl x509 -text -noout -in server.cer

服务器程序

package main
import (
    "bufio"
    "crypto/tls"
    "log"
    "net"
)
func main() {
    cert, err := tls.LoadX509KeyPair("server.cer", "server.key")
    if err != nil {
        log.Println(err)
        return
    }
    config := &tls.Config{Certificates: []tls.Certificate{cert}}
    ln, err := tls.Listen("tcp", "www.mylocal.com:443", config)
    if err != nil {
        log.Println(err)
        return
    }
    defer ln.Close()
    for {
        conn, err := ln.Accept()
        if err != nil {
            log.Println(err)
            continue
        }
        go handleConn(conn)
    }
}
func handleConn(conn net.Conn) {
    defer conn.Close()
    r := bufio.NewReader(conn)
    for {
        msg, err := r.ReadString('\n')
        if err != nil {
            log.Println(err)
            return
        }
        log.Println("receive: " + msg)
        n, err := conn.Write([]byte("world\n"))
        if err != nil {
            log.Println(n, err)
            return
        }
    }
}

客户端程序

package main

import (
        "crypto/tls"
        "crypto/x509"
        "log"
)

func printPeerCrt(conn *tls.Conn) {
        certChain := conn.ConnectionState().PeerCertificates
        for i, cert := range certChain {
                log.Println(i)
                log.Println("Issuer: ", cert.Issuer)
                log.Println("Subject: ",cert.Subject)
                log.Println("Version: ", cert.Version)
                log.Println("NotAfter: ", cert.NotAfter)
                log.Println("DNS names: ", cert.DNSNames)
                log.Println("")
        }
}

func main() {
//ca.cer或者server.cer的客户端验证,golang 的tls包两者都支持。
        const rootCA = `
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----`

        const rootServer = `
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----`
        roots := x509.NewCertPool()
        ok := roots.AppendCertsFromPEM([]byte(rootServer))
        //ok := roots.AppendCertsFromPEM([]byte(rootCA))
        if !ok {
                panic("failed to parse root certificate")
        }
        //regard to IP SANs
        //conn, err := tls.Dial("tcp", "127.0.0.1:443",
        //regard to SANs
        //conn, err := tls.Dial("tcp", "www.mylocal.com:443",
        conn, err := tls.Dial("tcp", "localhost:443",
                &tls.Config{InsecureSkipVerify: false,
                        RootCAs: roots,
                        MaxVersion: tls.VersionTLS12,
                        })
        if err != nil {
                log.Fatal(err)
        }
        printPeerCrt(conn)
        defer conn.Close()
        _, err = conn.Write([]byte("hello\n"))
        if err != nil {
                log.Fatal(err)
        }
        buf := make([]byte, 1000)
        n, err := conn.Read(buf)
        if err != nil {
                log.Fatal(err)
        }
        log.Println("receive: " + string(buf[:n]))
}
小∷小
关注
专栏目录
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
数字证书笔记
热门推荐
shuangmu9768的博客
09-07 1万+
【1】非对称加密、数字签名、数字证书、keytool自签名证书 【2】HTTPS、SSL 证书、利用Openssl制作自签名SSL证书 【3】tomcat开发环境配置启用https 【4】Spring Boot2中配置HTTPS 【5】导入安全证书到jdk 【6】Tomcat服务器配置https双向认证 【7】openssl与keytool 区别 【8】利用Openssl与Keytool制作Tomcat数字证书 【9】SSL工作原理 【10】NIO模式和BIO模式实现SSL协议通信 【11】Java Key
使用openssl生成单向ssl证书
04-04
使用openssl生成单向ssl证书,此方法生成的证书可以用于基于boost.asio库的SSL通讯测试中。基于基于boost.asio库SSL通讯测试程序可参见本人其他资源。
基于openssl单向和双向认证
weixin_33885676的博客
11-01 197
1、前言    最近工作涉及到https,需要修改nginx的openssl模块,引入keyless方案。关于keyless可以参考CloudFlare的官方博客: https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/?utm_source=tuicool&utm_medium=refer...
openssl 单向认证
曾经(一卡通/支付/卡系统/POS/读卡器 c/c++/java/c#/android/sql) 现在 c++/golang后台/window客户端高级开发
07-11 852
openssl 单向认证
OpenSSL签名证书
最新发布
爱喝星冰乐的博客
05-28 1120
OpenSSL自签证书
rensin 3.1 配置openSSL单向认证
weixin_30820151的博客
08-03 238
1.软件准备: (1)resin pro 版本,非pro版本不能使用ssl类库 (2)安装好openssl类库,安装程序地址:http://gnuwin32.sourceforge.net/packages/openssl.htm 软件名称:openssl-0.9.8h-1-setup.exe ...
密钥加解密与单向哈希函数与MAC实验
weixin_45817996的博客
05-14 1130
实验一:密钥加解密实验 实验环境搭建 1、使用 openssl 命令行工具及其库: (1)sudo apt-get update (2)sudo apt-get install -y libssl-dev 问题:通过网络了解openssl 库有什么作用? 答:openssl是一个开源程序的套件,这个套件有三个部分组成:一是libcryto:这是一个具有通用功能的加密库,里面实现了众多的加密库;二是 libssl:这个是实现ssl机制的、他是用于实现TLS/SSL的功能;三是openss
OpenSSL与网络信息安全:密码算法与PKCS#7实践
第7至第12章是本书的重点,详细介绍了OpenSSL的多种指令和参数,包括证书创建、管理和转换,以及SSL/TLS协议的配置和调试。这些章节为读者提供了实用的操作指南,有助于他们在实际工作或项目中应用OpenSSL。 本书...
关于JAVA与nginx双向认证的总结
qq_39319111的博客
12-29 1229
关于JAVA与nginx双向认证的总结目录一、 研究目的和简要二、 Openssl生成级联证书第一步:生成相关目录和文件第二步:修改openssl配置第三步:创建证书第四步:生成服务器证书第五步:生成客户端证书三、 Nginx配置双向认证四、 Java实现双向认证第一种方式:使用httpclient处理:第二种方式使用JDK的类处理:五、 证书关系图 目录 一、 研究目的和简要 二、 Opens...
OpenSSL做自签名证书(by quqi99)
技术并艺术着
08-19 3501
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
openssl https 单向认证连接成功示例
banyuxuan7255的博客
11-27 310
openssl https 单向认证连接成功示例 研究这个玩意也有几天的时间了,刚学C 因为不熟悉编译折腾了不少时间,终于弄通了,发个随笔给研究openssl https的同学一点提示吧。 环境: ================================...
SSL双向认证单向认证
m0_51514815的博客
05-29 6518
参考:https://www.cnblogs.com/bluestorm/p/10571989.html整理双向认证 SSL 协议要求服务器和用户双方都有证书单向认证 SSL 协议不需要客户拥有CA证书
openssl tcp单向和双向加密源码
12-06
https://blog.csdn.net/u014220105/article/details/84851031 先查看大致的思路确定是非有需要,部分代码源于其它地方,这里为测试代码 均已编译调试成功,欢迎指点,不喜勿喷
HTTPS和HTTPS证书
qq_35789269的博客
05-16 3732
HTTPS协议 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文,因此使用HTTP协议传输隐私信息非常不安全。HTTP使用80端口通讯,而HTTPS占用443端口通讯。在计算机网络上,HTTPS经
OpenSSL中文手册之密码学理论基础(未完待续)
liao20081228的博客
08-14 1942
1 基本理论  最早计算之间的通信是明文的,在互联网上通信的内容,传输的数据都可以被截取都和阅读。比如你下载的某动作片,和朋友的聊天,邮件 都可以被第三者截取、获取有效的内容和修改内容。   针对数据被截取,最有效的办法当然就是专用网络,除此外则是加强传输过程中的防御,此外也别无他法。   针对数据可以被获知有效信息,最有效的方法就是加密。   针对数据被修改,最好的办法就是利用摘要,一旦数据
VC http/https(包含单向认证)
01-28
VC http/https(包含单向认证) 20191114:可以不用在下载此资源,已经重新提供了一份更全面的资源《VC http/https(包含单向认证、双向认证源码、SSL协议设置)》,且积分比此资源更少(当初第一次上传资源没注意选到了7分)
SSL单双向认证
无奇不有 不置可否的博客
01-13 2114
本文旨在介绍SSL单双向认证相关知识,包括TLS协议,单双向流程等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值