使用openssl生成自签名证书

最新推荐文章于 2025-05-06 11:32:41 发布
原创 最新推荐文章于 2025-05-06 11:32:41 发布
· 1.2k 阅读 · 6 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

由于最近项目中需要用到安全证书,所以这里记录下如何使用openssl生成安全证书,操作环境:Ubuntu16.04,

操作过程

一. 生成证书
  1. 生成一个2048位的私匙文件 — rsa_private_key.pem
    openssl genrsa -out rsa_private_key.pem 2048
  2. 从私匙里提取公匙文件 — rsa_public_key.pem
    openssl rsa -in rsa_private_key.pem -out rsa_public_key.pem -outform PEM -pubout
  3. 使用私匙创建公匙证书请求,会让你填写一些内容,可根据需要填写,
    openssl req -new -key rsa_private_key.pem -out rsa_cert_req.csr
  4. 生成证书(crt)并签名(有效期10年),注意这个不是v3证书,后面会讲如何生成v3证书
    openssl x509 -req -days 3650 -in rsa_cert_req.csr -signkey rsa_private_key.pem -out rsa_cert.crt
  5. 查看crt证书,会显示在第3步中填写的内容,
    openssl x509 -in rsa_cert.crt -noout -text
    其中,C:Country(国家);ST:State(省);L:Locality(市);O:Organization Name(组织);OU:Organizational Unit(部门);CN:Common Name(域名)

上述操作生成的证书是crt,私匙和公匙文件格式是pem,有时我们需要的是der格式的证书和钥匙,那么就需要进行转换,转换如下,

  1. 把私匙转换成der格式
    openssl rsa -in rsa_private_key.pem -out rsa_private_key.der -outform der
  2. 把公匙转换成der格式
    openssl rsa -in rsa_public_key.pem -out rsa_public_key.der -pubin -outform der
  3. 把crt证书转换成der格式
    openssl x509 -in rsa_cert.crt -out rsa_cert.der -outform der
  4. 查看der格式的证书
    openssl x509 -in rsa_cert.der -inform der -noout -text

这样就证书和钥匙文件就生成完毕了。

二 生成v3证书

如果需要生成v3证书,那么就需要先生成私匙和公匙证书请求,即前面生成的rsa_private_key.pem和rsa_cert_req.csr。

然后在ubuntu里查找openssl.cnf文件,命令如下,
sudo find /* -name "openssl.cnf"
一般是在/ect/ssl/openssl.cnf,也可能是/usr/local/ssl/openssl.cnf,或者别的地方。把这个文件拷贝出来,然后打开,在文本最后添加以下内容,注意,实际使用时要根据自己的需要进行添加和修改,

[hello_cert]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer

basicConstraints=CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName=@alt_names

[alt_names]
DNS.1 = localhost
DNS.2 = Linux-Ubuntu16.04
IP.1 = 127.0.0.1
IP.2 = 0.0.0.0
URI = xxxx

也可以不使用openssl.cnf,直接自己写个文件,包含上面要添加的内容,也可以运行成功,这里使用openssl.cnf只是做个范例,因为这个文件里其它内容可以作为参考。

最后执行下面的命令来生成v3证书,

  openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf  -extensions hello_cert -in rsa_cert_req.csr -signkey rsa_private_key.pem -out server.crt

PS: -extfile后面的openssl.cnf就是之前我们拷贝过来并修改的opensll.cnf文件,-extensions后面的hello_crt表示从openssl.cnf里提取hello_crt的内容。

生成的是crt证书,如需生成der格式可以参考上一节来转换。下面查看下这个cert证书,来看下我们添加进去的内容,

  openssl x509 -in server.crt -noout -text

可以看到有如下内容,
在这里插入图片描述
这部分就是刚才在openssl.cnf里填写的内容。

小结

本文主要讲述如何使用openssl生成自签名证书,参考了网上很多其它文章,自己也多次实践并验证通过。

如果有写的不对的地方,希望能留言指正,谢谢阅读。

使用openssl生成自签名证书(多域名)用于https的ssl验证
liaomingwu的专栏
10-27 1249
有时在项目的开发环境和测试环境,并不能获得正式的证书,但是项目的开发和测试又需要证书来模拟生产环境下的安全配置,此时就可以采用自签名证书。而且我们希望我们的证书能够在开发环境和测试环境中完全正常的使用,不会出现各种证书无效的提示和警告。此时就可以参考这里的步骤进行配置。
Windows下使用OpenSSL生成自签名证书
xuanyushifeng的博客
02-26 7613
Windows下使用OpenSSL生成自签名证书 1、下载OpenSSL安装包,安装完后,目录结构如下: 安装完成后,在系统环境变量里面添加路径。 2、在随便位置创建ssl文件夹,我是在D盘根目录下创建ssl文件夹(名称随便取),用于存放生成的证书文件。 3、打开CMD命令窗口,切换到SSL文件夹路径,输入命令openssl回车。 (1)输入命令:genrsa -des3 -out mycert...
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2603
ssl
openssl 生成自签名证书实现接口支持https
最新发布
LB_bei的博客
05-06 924
openssl 的目录(D:\tools\openssl\bin)添加到 path 中。将生成的 jks 文件放到 Java 服务的 src/resources中。在yml配置中配置(这里面的 luobei 替换成你的密码)找一个存证书的目录打开powershell。
OpenSSL自签名证书
爱喝星冰乐的博客
05-28 1414
OpenSSL自签证书
使用 OpenSSL 生成自签名证书
cfycyf的博客
03-29 368
https://www.ibm.com/docs/zh/api-connect/10.0.1.x?topic=overview-generating-self-signed-certificate-using-openssl 基本环境 [root@localhost build]# rpm -q centos-release centos-release-7-9.2009.1.el7.centos.x86_64 [root@localhost build]# openssl req -newkey r
Openssl 生成自签名证书
大鱼
12-27 1113
Openssl生成自签名证书脚本
openssl 生成自签名证书
yanghaitao5000的博客
09-01 1501
1、openssl
OpenSSL 生成自签名证书
@Yan*_*zeng博客
08-30 850
自签名证书 OpenSSl
使用openssl创建自签名证书
天气怎么样的博客
11-25 586
使用openssl创建自签名证书1.创建根CA(完成一次)1.1创建根密钥1.2创建并自签名根证书2.创建证书(为每个服务器完成)2.1创建证书密钥2.2创建签名(csr)2.3使用签名xxx.com.csr和证书密钥xxx.com.key以及CA密钥rootCA.key和CA签名rootCA.crt生成证书参考 1.创建根CA(完成一次) 1.1创建根密钥 注意:这是用于签署证书请求的密钥,持有此证书的任何人都可以代表您签署证书。因此,请将其保存在安全的地方! openssl genrsa -des3 -
OpenSSL生成自签名证书
啄慕鸟
08-02 505
1.密钥对 openssl genrsa -des3 -out gisportal.key 2048   2.签名请求 openssl req -new -key gisportal.key -out gisportal.csr -subj "/C=CN/ST=GuangXi/L=NanNing/O=Esri/OU=IT/CN=gisportal.nns.gx"   3.签名 op
OpenSSL做自签名的证书(by quqi99)
技术并艺术着
08-19 3878
作者:张华 发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:csdn居然丢文章,这篇2014年的就丢了,这是从互联网上找到的其他网站的转载备份。 加密技术回顾 非对称加密算法如RSA的特点如下: 1, 公钥加密私钥解密, 大家都可以用我的公钥给我发加密的数据了, 因为只有我有私钥才能解密. 2, 私钥加密公钥解密叫数字签名(例如所谓的UEFI secure boot就是在
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值