OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问

已于 2024-04-16 18:37:14 修改
阅读量762 收藏 11
点赞数 17
文章标签: 服务器 运维
于 2024-04-16 17:39:13 首次发布
原文链接:https://blog.csdn.net/mn960mn/article/details/85645805
版权

目录

一:创建根CA

二:创建二级CA

三:使用二级CA签发服务器端证书

四:配置nginx的ssl 

五:导入自建CA的根证书(二级CA证书无需导入)

六:配置hosts

本文属于转载补充了一些细节

原文链接:https://blog.csdn.net/mn960mn/article/details/85645805

自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如

像CSDN这种,网站使用的证书就是由二级CA颁发的证书。

本文就来演示,自签CA,由自签CA签发二级CA,最后由二级CA签发网站证书

--------------------------------------------------------------------------------------------------------    

系统环境:

Ubuntu 18.10

OpenSSL 3.0.2 15 Mar 2022 

一:创建根CA

1:依次创建如下目录

mkdir -p /opt/ca/root

mkdir /opt/ca/root/key

2:vim /opt/ca/root/openssl.cnf

[ ca ]
default_ca	= CA_default
 
[ CA_default ]
dir		    = /opt/ca/root
certs		= $dir/certs
crl_dir		= $dir/crl
database	= $dir/index.txt
new_certs_dir	= $dir/newcerts
certificate	= $dir/key/cacert.crt
serial		= $dir/serial
crlnumber	= $dir/crlnumber
crl		    = $dir/crl.pem
private_key	= $dir/key/cakey.pem
RANDFILE	= $dir/key/.rand
unique_subject	= no
 
x509_extensions	= usr_cert
copy_extensions = copy
 
name_opt 	= ca_default
cert_opt 	= ca_default
 
default_days	= 365
default_crl_days= 30
default_md	= sha256
preserve	= no
policy		= policy_ca
 
[ policy_ca ]
countryName		= supplied
stateOrProvinceName	= supplied
organizationName	= supplied
organizationalUnitName	= supplied
commonName		= supplied
emailAddress		= optional
 
[ req ]
default_bits		= 2048
default_keyfile 	= privkey.pem
distinguished_name	= req_distinguished_name
attributes		= req_attributes
x509_extensions	= v3_ca
string_mask = utf8only
utf8 = yes
prompt                  = no
 
[ req_distinguished_name ]
countryName			= CN
stateOrProvinceName		= beijing
localityName			= beijing
organizationName        = Global Google CA Inc
organizationalUnitName	= Root CA
commonName			= Global Google Root CA
 
[ usr_cert ]
basicConstraints = CA:TRUE
 
[ v3_ca ]
basicConstraints = CA:TRUE
 
[ req_attributes ]

3:创建如下目录及文件

mkdir /opt/ca/root/newcerts

touch /opt/ca/root/index.txt

touch /opt/ca/root/index.txt.attr

echo 01 > /opt/ca/root/serial

4:创建根CA私钥

openssl genrsa -out /opt/ca/root/key/cakey.pem 2048

5:创建根CA证书请求文件

openssl req -new -key /opt/ca/root/key/cakey.pem -out /opt/ca/root/key/ca.csr -config /opt/ca/root/openssl.cnf

6:自签根CA证书

openssl ca -selfsign -in /opt/ca/root/key/ca.csr -out /opt/ca/root/key/cacert.crt -config /opt/ca/root/openssl.cnf

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/root/key/cacert.crt

经过以上几个步骤,就生成了根CA的相关证书和私钥,可以用于签发其他的CA(二级CA),不可签发服务器证书

二:创建二级CA

1:依次创建如下目录

mkdir /opt/ca/agent

mkdir /opt/ca/agent/key

2:vim /opt/ca/agent/openssl.cnf

[ ca ]
default_ca	= CA_default
 
[ CA_default ]
dir		    = /opt/ca/agent
certs		= $dir/certs
crl_dir		= $dir/crl
database	= $dir/index.txt
new_certs_dir	= $dir/newcerts
certificate	= $dir/key/cacert.crt
serial		= $dir/serial
crlnumber	= $dir/crlnumber
crl		    = $dir/crl.pem
private_key	= $dir/key/cakey.pem
RANDFILE	= $dir/key/.rand
unique_subject	= no
 
x509_extensions	= usr_cert
copy_extensions = copy
 
name_opt 	= ca_default
cert_opt 	= ca_default
 
default_days	= 365
default_crl_days= 30
default_md	= sha256
preserve	= no
policy		= policy_ca
 
[ policy_ca ]
countryName		= supplied
stateOrProvinceName	= supplied
organizationName	= supplied
organizationalUnitName	= supplied
commonName		= supplied
emailAddress		= optional
 
[ req ]
default_bits		= 2048
default_keyfile 	= privkey.pem
distinguished_name	= req_distinguished_name
attributes		= req_attributes
x509_extensions	= v3_ca
string_mask = utf8only
utf8 = yes
prompt = no
 
[ req_distinguished_name ]
countryName			= CN
stateOrProvinceName		= Guangdong
localityName			= Guangzhou
organizationName        = Global Google CA Inc
organizationalUnitName	= Google 2019 CA
commonName			= Google 2019 CA
 
[ usr_cert ]
basicConstraints = CA:FALSE
 
[ v3_ca ]
basicConstraints        = CA:TRUE
 
[ req_attributes ]

3:创建如下目录及文件

mkdir /opt/ca/agent/newcerts

touch /opt/ca/agent/index.txt

touch /opt/ca/agent/index.txt.attr

echo 01 > /opt/ca/agent/serial

4:创建二级CA私钥

openssl genrsa -out /opt/ca/agent/key/cakey.pem 2048

5:创建二级CA证书请求文件

openssl req -new -key /opt/ca/agent/key/cakey.pem -out /opt/ca/agent/key/ca.csr -config /opt/ca/agent/openssl.cnf

6:使用根CA签发二级CA

openssl ca -in /opt/ca/agent/key/ca.csr -out /opt/ca/agent/key/cacert.crt -config /opt/ca/root/openssl.cnf

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/agent/key/cacert.crt

经过以上几个步骤,就生成了一个二级CA,这个二级CA可以签发服务器证书(不能签发其他的CA)

三:使用二级CA签发服务器端证书

1:mkdir /opt/ca/example

2:vim /opt/ca/example/openssl.cnf

[ req ]
prompt             = no
distinguished_name = server_distinguished_name
req_extensions     = req_ext
x509_extensions	= v3_req
attributes		= req_attributes
 
[ server_distinguished_name ]
commonName              = www.example.com  #改为你的域名
stateOrProvinceName     = zhejiang
countryName             = CN
organizationName        = Alibaba Taobao Inc
organizationalUnitName  = Taobao IT
 
[ v3_req ]
basicConstraints        = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
 
[ req_attributes ]
 
[ req_ext ]
subjectAltName      = @alternate_names
 
[ alternate_names ]
DNS.1        = www.example.com      #这里也需要修改

3:生成网站私钥

openssl genrsa -out /opt/ca/example/privkey.pem 2048

4:生成证书请求文件(csr文件)

openssl req -new -key /opt/ca/example/privkey.pem -out /opt/ca/example/example.csr -config /opt/ca/example/openssl.cnf

5:使用二级CA进行签发证书(这里不能用根CA签发)

openssl ca -in /opt/ca/example/example.csr -out /opt/ca/example/example.crt -config /opt/ca/agent/openssl.cnf

6:聚合证书(重要)

由于是二级CA颁发的证书,所以,服务器需要把根CA、二级CA等证书都要发送给浏览器,所以给到web服务器的证书是要一个聚合的证书

cat /opt/ca/example/example.crt /opt/ca/agent/key/cacert.crt /opt/ca/root/key/cacert.crt | tee /opt/ca/example/example_all.crt

PS:注意顺序

7:查看证书信息(可选)

openssl x509 -text -in /opt/ca/example/example_all.crt

经过以上几个步骤,就生成了由二级CA签发的证书了

四:配置nginx的ssl 

server {
	listen       443 ssl;
	server_name  www.example.com;
 
	ssl_certificate      /opt/ca/example/example_all.crt;
	ssl_certificate_key  /opt/ca/example/privkey.pem;
 
	ssl_session_cache    shared:SSL:1m;
	ssl_session_timeout  5m;
 
	ssl_ciphers  HIGH:!aNULL:!MD5;
	ssl_prefer_server_ciphers  on;
 
	location / {
		root   html;
		index  index.html index.htm;
	}
}

配置之后进行重启:service nginx restart 

五:导入自建CA的根证书(二级CA证书无需导入)

这里以Chrome为例,打开:设置 -> 隐私与安全 -> 安全-》管理证书,在受信任的根证书颁发机构里面选择导入

选择文件 /opt/ca/root/key/cacert.crt 导入

未导入根证书前访问:

导入根证书之后,访问不再爆不安全

六:配置hosts

 192.168.8.188 www.example.com

最后,使用https方式访问上面的网址即可

访问之后,也可以在Chrome上查看证书

注意:

一:

CA和证书是有区别的,CA是用来颁发证书和签发二级CA的,且两者是互斥的。也就是说,一个CA要么是用来签发二级CA的,要么是用来签发证书的。

如何判断?

在 /opt/ca/root/openssl.cnf配置文件中,有如下配置

[ usr_cert ]
basicConstraints = CA:TRUE
 
[ v3_ca ]
basicConstraints = CA:TRUE

usr_cert下面的basicConstraints代表的是当前CA的配置,

CA:TRUE是当前CA签发的是CA(二级CA),不能签发证书,

CA:FALSE是当前CA签发的是证书,不能签发CA(二级CA)

v3_ca下面的basicConstraints代表的是请求的证书是CA还是证书

CA:TRUE表示当前请求的是CA(二级CA)

CA:FALSE表示当前请求的是证书

二:

如果是CA(二级CA),则证书请求中的commonName不需要填写域名,可以填写组织机构

如果是证书,则证书请求中的commonName需要填写域名(一般是主域名),当然了,这个主域名也要在后面的subjectAltName属性中

                        

lzhao妮
关注
  • 17
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用openssl 生成免费证书的方法步骤
01-10
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层协议)的缩写,可以在Internet上提供秘密性传输。Netscape(网景)公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。 因为在网络传输的过程,网络的数据肯定要经过wifi路由器对吧,那么我们通过路由器做些手脚我们就可以拿到数据,因此openssl的作用就是避免信息
OpenSSL自签发证书并实现浏览器安全访问
最新发布
Innocence_0的博客
03-02 912
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。!
使用openssl生成签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
Nginx实现自签名SSL证书生成与配置
Katie_ff的博客
09-07 3070
本文 主要是Nginx 就可以使用自签名 SSL 证书来启用 HTTPS,实现加密和安全的通信。需要注意的是,自签名 SSL 证书不会受到公信任的证书颁发机构(Certificate Authority)认可,因此浏览器会显示安全警告。在生产环境,建议使用由受信任的证书颁发机构签发的证书来获得更高的安全性和可信度。
局域网https自签名教程
Stestack的博客
02-28 1727
们的客户是在内网环境里面,所以就只能用自签名证书来搞,我一想这还不容易,就迅速的百度了一下随便找了个文章开始照猫画虎,很快就弄完了,但是弄完后发现还是有问题,而且https 还是报不安全,1、基于nginx版本1、证书生成
openssl生成签名证书
m0_61747530的博客
06-05 1676
openssl生成签名证书 查看证书的有效期 如何检查openssl生成的pem的证书与私钥是否匹配
OpenSSL 自签证书详解
云原生运维
12-25 6833
数字证书的基本概念 数字证书的标准 X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书的一些特定信息 序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA 签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA 证书的有效
通过openSSL生成签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
OpenSSL生成CA自签名证书和颁发证书
FLY的博客
08-05 6070
openssl ca
OpenSSL生成签名证书及使用
@tangguo123 博客
07-10 2564
openssl 生成签名证书及使用
OpenSSL 生成签名证书
weixin_51715424的博客
10-19 2190
Nginx
self-signed-ssl:使用OpenSSL生成签名TLS证书
03-21
签名TLS 该脚本可简化使用OpenSSL创建证书颁发机构和自签名TLS证书的过程。 用法 self-signed-tls [OPTIONS] self-signed-tls --trust -c US -s California -l 'Los Angeles' -o 'Example Org' -u 'Example Unit' self-signed-tls --ca-key=/path/to/CA.key --ca-cert=/path/to/CA.pem --ca-only 选项 一般的 选项 描述 -h --help 显示帮助并退出 -p VALUE --path=VALUE 输出生成键的路径 -d VALUE --duration=VALUE 证书有效的天数(默认为365 ) -b VALUE --bits=VALUE 密钥大小(以位为单位)(默认为2048 ) --n
openssl签名证书命令
07-09
https目前广泛流行,现提供openssl签名证书的命令和基本验证命令。
OpenSSL生成的ssl证书
01-11
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
内网使用openssl签名证书开启https连接,同时解决chrome浏览器的不安全访问
my_interface的博客
01-05 1万+
1、在内网开启https访问,使用ip,请直接看第二步。如果是外网域名的话,建议直接去从 阿里云或者其他的网站直接用权威机构颁发的证书。地址 2、请先安装OpenSSL 3、生成证书 创建根证书 新建anxinCA.cnf文件并输入以下内容: [ req ] distinguished_name = req_distinguished_name x509_extensions = root_ca [ req_distinguished_name ] # 以下内容可随意填写 .
解决WindowServer2022关于EDGE浏览器识自签证书问题
weixin_45564816的博客
01-31 308
在最新版的WindowServer2022,自签证书在EDGE、Google等浏览器会出现证书错误、不信任的问题,但是在IE浏览器可以正常访问,这是我们需要做一些相关操作,使得EDGE可以信任证书
OpenSSL做自签名证书(by quqi99)
技术并艺术着
08-19 2852
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 7573
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器生成 3.客户端方生成
openssl 生成签名证书
09-09
您可以使用OpenSSL工具来生成签名证书。以下是一个简单的步骤: 1. 安装OpenSSL:首先,请确保您的计算机上已安装OpenSSL。您可以从OpenSSL官方网站(https://www.openssl.org)下载并安装适合您操作系统的版本。 2. 创建私钥:打开终端或命令提示符,并导航到您希望生成证书的目录。然后执行以下命令生成私钥文件: ``` openssl genpkey -algorithm RSA -out private.key ``` 该命令将生成一个RSA算法的私钥文件(private.key)。 3. 创建证书签名请求(CSR):接下来,执行以下命令生成CSR文件: ``` openssl req -new -key private.key -out csr.csr ``` 在这个命令,您需要提供有关证书的一些信息,例如通用名称(Common Name),组织单位(Organization Unit),组织名称(Organization Name),城市或地区(Locality),州或省(State/Province),以及国家代码(Country Code)。 4. 生成签名证书:最后,运行以下命令以使用私钥和CSR生成签名证书: ``` openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt ``` 这个命令将在365天有效期内生成一个自签名证书文件(certificate.crt)。 现在,您已经成功生成了一个自签名证书并准备好在您的应用程序使用它。请注意,自签名证书浏览器可能会被标记为不受信任,因为它没有受到第三方机构的验证。对于生产环境,建议使用受信任的证书颁发机构(Certificate Authority)签发的证书

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值