在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书

已于 2023-08-22 18:42:44 修改
阅读量8.6k 收藏 57
点赞数 10
分类专栏: Linux 文章标签: 服务器 运维 linux centos CA认证
于 2023-01-07 21:55:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64334766/article/details/128594460
版权

本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演示

目录

一.生成认证主要流程

1.虚拟出一个CA认证机构,为其生成公私钥以及自签证书

2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书

3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书

4.生成证书

二.具体生成过程

1.虚拟CA机构方生成内容

2.服务器方生成内容

3.客户端方生成内容

一.生成认证主要流程

1.虚拟出一个CA认证机构,为其生成公私钥以及自签证书

2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书

3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书

4.生成证书

注意:建议新建一个或多个目录用于存放密钥/认证文件

二.具体生成过程

1.虚拟CA机构方生成内容

(1)为CA机构生成私钥

openssl genrsa -out ca.prikey 2048

genrsa:表示生成私钥

-out:表示输出到哪个文件

2048:指定密钥长度

[root@sulibao ca_ca]# openssl genrsa -out ca.prikey 2048

4eca5c899542447299344335279e59a0.png

 (2)为CA机构生成公钥

openssl rsa -in ca.prikey -pubout -out ca.pubkey

rsa:表示生成公钥

-in:指定输入文件

-pubout:表示提示openssl要输出的文件为公钥文件

[root@sulibao ca_ca]# openssl rsa -in ca.prikey -pubout -out ca.pubkey
writing RSA key

d8bad1c9d4d849b5a99ca7efa4fad3e3.png  

(3)为CA机构生成自签名证书

 openssl req -new -x509 -days 3650 -key ca.prikey -out ca.cert

req:表示生成请求文件

-new:表示创建一个新请求

-x509:类似证书版本号

-days:指定证书有效时间

-key:指定私钥文件

[root@sulibao ca_ca]# openssl req -new -x509 -days 3650 -key ca.prikey -out ca.cert

910f86aaa63744a8b95577c2dde2a403.png注意:提示输入信息可以直接回车,如若输入错误可以尝试使用BackSpace或者Ctrl+BackSpace进行删除 

 (4)查看各文件是否齐全

[root@sulibao ca_ca]# ll
total 28
-rw-r--r-- 1 root root 1363 Jan  7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan  7 18:54 ca.prikey
-rw-r--r-- 1 root root  451 Jan  7 18:56 ca.pubkey

已生成认证文件 

2.服务器方生成内容

(1)为服务器生成私钥

openssl genrsa -out ser.prikey 2048

[root@sulibao ca_ca]# openssl genrsa -out ser.prikey 2048

16b6f6360aee4c358d9a9db8e71f1e6b.png

(2) 生成服务器证书申请文件

openssl req -new -key ser.prikey -out ser.csr

[root@sulibao ca_ca]# openssl req -new -key ser.prikey -out ser.csr

34c99e171e3e47c7b690759769aea9a6.png  

(3)把服务器申请文件发送给CA机构,请求签发证书

openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out ser.cert

-CA:指定CA机构的签名证书文件

-CAkey:指定CA机构的私钥文件

-CAcreateserial:CA认证标识

[root@sulibao ca_ca]# openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out ser.cert
Signature ok
subject=xxxxxx
Getting CA Private Key

708fded1b4014881be4f1c04260bb5f5.png

(4)查看各文件是否齐全

[root@sulibao ca_ca]# ll
total 40
-rw-r--r-- 1 root root 1363 Jan  7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan  7 18:54 ca.prikey
-rw-r--r-- 1 root root  451 Jan  7 18:56 ca.pubkey
-rw-r--r-- 1 root root   17 Jan  7 20:09 ca.srl
-rw-r--r-- 1 root root 1245 Jan  7 19:28 ser.cert
-rw-r--r-- 1 root root 1082 Jan  7 19:17 ser.csr
-rw-r--r-- 1 root root 1679 Jan  7 19:15 ser.prikey

 已生成认证文件

3.客户端方生成内容

(1)为客户端生成私钥

openssl genrsa -out cli.prikey 2048

[root@sulibao ca_ca]# openssl genrsa -out cli.prikey 2048

fe60ef2db0dc4ad086878f83f78d3381.png  

(2)生成客户端证书申请文件

openssl req -new -key cli.prikey -out cli.csr

[root@sulibao ca_ca]# openssl req -new -key cli.prikey -out cli.csr

 44f09e38446446ebbfa32e97bda01404.png

(3)把客户端申请文件发送给CA机构,请求签发证书

openssl x509 -req -days 3650 -in cli.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out cli..cert

[root@sulibao ca_ca]# openssl x509 -req -days 3650 -in cli.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out cli..cert
Signature ok
subject=xxxxxx
Getting CA Private Key

20ad6cfa044b48aea46f60eb5832da43.png

(4)查看各文件是否齐全

[root@sulibao ca_ca]# ll
total 40
-rw-r--r-- 1 root root 1363 Jan  7 19:07 ca.cert
-rw-r--r-- 1 root root 1675 Jan  7 18:54 ca.prikey
-rw-r--r-- 1 root root  451 Jan  7 18:56 ca.pubkey
-rw-r--r-- 1 root root   17 Jan  7 20:09 ca.srl
-rw-r--r-- 1 root root 1204 Jan  7 20:09 cli.cert
-rw-r--r-- 1 root root  985 Jan  7 20:07 cli.csr
-rw-r--r-- 1 root root 1675 Jan  7 20:06 cli.prikey
-rw-r--r-- 1 root root 1245 Jan  7 19:28 ser.cert
-rw-r--r-- 1 root root 1082 Jan  7 19:17 ser.csr
-rw-r--r-- 1 root root 1679 Jan  7 19:15 ser.prikey

已生成认证文件 

树下一少年
关注
  • 10
    点赞
  • 57
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
利用openssl自制CA证书
09-13
文档中详细介绍了如何利用openssl制作ca证书的步骤 代码则实现可将ca证书安装到浏览器的受信任根证书的功能
linux生成ssl自签证书, 并配置nginx通过https访问
wgq2020的博客
10-19 1386
将“yourdomain.com”替换为你要使用的域名,“/path/to/yourdomain.crt”和“/path/to/yourdomain.key”分别替换为你的 SSL 证书和私钥文件的路径。请确保在浏览器中使用 https://yourdomain.com 访问你的网站,以验证 SSL 证书是否正常工作。在 Linux 系统中,可以使用 OpenSSL 工具来创建自签名 SSL 证书,并使用 Nginx 服务器配置 HTTPS 访问。生成私钥后,需要为 SSL 证书创建签名请求(CSR)。
如何利用linux自带的openssl工具生成签名证书
最新发布
xlfc12138的博客
06-10 902
需求:通过自签名CA证书,模拟CA机构签发服务端证书客户端证书,为设备提供双向认证功能。 通过证书签发过程,更好的理解证书认证的相关知识
Linux上创建SSL证书
2302_82179879的博客
03-30 1846
OpenSSL
openssl 生成证书步骤
hinewcc的博客
05-08 2756
本地使用 openssl 生成证书
linux生成https证书
ThinPikachu的博客
07-25 4041
linux生成https证书
通过openSSL生成签名的SSL证书
adminstate的博客
01-12 1万+
ssl证书
OpenSSL生成CA签名证书颁发证书
FLY的博客
08-05 6360
openssl ca
Windows openssl自建CA并分发证书(ECC)
c630843901的博客
07-06 3341
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证书我们需要使用证书签名服务器客户端证书使用私钥生成证书,为此我们创建几个目录,用来存储证书,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA证书 使用上一步生成CA私钥,生成CA证书
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7161
证书类型、自签CA证书、https双向认证(一篇就懂系列)
openssl命令基础用法:创建CA和申请证书
qq_40378795的博客
12-10 1163
使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/usr/lib/ssl/openssl.cnf 文件。 修改文件内容 /etc/pki/CA中创建下面文件 第一步:创建为 CA 提供所需的目录及文件 sudo mkdir -pv /etc/pki/CA/{certs,crl,newcerts,private} 需要在文件serial中输入01。 echo 01 >> seri..
Linux平台openssl工具生成CA证书的命令 配置文件 证书
12-24
本主题将详细讲解如何在Linux平台上使用OpenSSL工具生成CA(Certificate Authority)证书,以及涉及的相关文件类型和配置。 首先,让我们了解什么是CA证书CA证书是由受信任的证书颁发机构(如上述的CA)签发的,...
基于opensslCA证书服务器 你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书
01-06
你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书续期、证书吊销列表等。它可以生成多种类型的证书,包括且不限于web服务器、代码、计算机、客户端、信任列表、时间戳...
Linux下用Openssl生成证书[归类].pdf
10-11
Linux环境下,使用OpenSSL生成SSL X.509证书涉及一系列步骤,这些步骤对于软件开发,特别是涉及网络服务安全的项目至关重要。X.509证书是公钥基础设施(PKI)的一部分,用于验证服务器客户端的身份。以下是一份...
openssl命令操作证书链实例
09-06
3. **生成服务器客户端证书**:类似地,我们为服务器客户端生成私钥和CSR,再用中间CA的私钥对其进行签名。 4. **验证证书链**:最后,我们使用`openssl verify`命令验证整个证书链的合法性,确保每个证书都被...
demo_openssl_api.tar.gz_DEMO_OPENSSL DEMO_SSL实现_linux openssl_li
09-23
3. **客户端的实现**:客户端通过SSL_CTX_new初始化SSL上下文,并设置信任的CA证书颁发机构)证书。然后,它发起连接请求,通过SSL_connect函数与服务器建立安全连接。 4. **数据传输**:连接建立后,客户端和...
Linux使用OpenSSL生成CA证书
qq_43813351的博客
04-19 3322
Linux快速生成CA证书(只要五行命令)
OpenSSL创建SSL证书
悦分享
06-03 4627
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
使用 openssl 生成证书(含openssl详解)
热门推荐
萧海的博客
06-04 1万+
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。 官网:https://www.openssl.org/source/ 构成部分: 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器
如何使用openssl生成ca证书
07-25
使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令生成一个新的私钥文件(例如ca.key): ```shell openssl genrsa -out ca.key 2048 ``` 这将生成一个2048位的RSA私钥文件。 3. 创建证书请求:使用私钥文件创建证书请求(CSR)。运行以下命令: ```shell openssl req -new -key ca.key -out ca.csr ``` 在运行命令后,你需要提供一些组织和地理位置信息。 4. 自签名证书使用CSR文件签名证书。运行以下命令: ```shell openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt ``` 这将生成签名CA证书文件(例如ca.crt)。 5. 验证证书:你可以使用以下命令验证生成证书: ```shell openssl x509 -in ca.crt -text -noout ``` 这将显示证书的详细信息,包括颁发者、有效期等。 现在你已经成功生成了自签名CA证书。请注意,这只是一个简单示例,用于了解如何使用OpenSSL生成CA证书。在实际使用中,你可能需要更多的配置和选项来满足你的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

树下一少年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值