openssl生成自签证书

最新推荐文章于 2024-09-01 07:31:07 发布
最新推荐文章于 2024-09-01 07:31:07 发布
阅读量2.4k 收藏 4
点赞数
分类专栏: linux 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wl21787/article/details/107227403
版权

文章目录

openssl基础信息

查看openssl版本

openssl version

查看版本更详细的信息

openssl version -a

/etc/pki/CA/
├── certs
├── crl
├── newcerts
└── private

生成自签证书

在确定配置为CA的服务器上生成一个自签证书

生成CA根密钥

umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096

生成CA自签证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

注意:以下内容为必填项
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BJ
Common Name (eg, your name or your server's hostname) []:10.216.91.117

要用到证书进行安全通信的服务器,需要向CA请求签署证书

生成私钥

umask 077; openssl genrsa -out /etc/pki/CA/https/httpd.key 2048

生成证书签署请求

openssl req -new -key /etc/pki/CA/https/httpd.key -out /etc/pki/CA/https/httpd.csr -days 365

将请求通过可靠方式发送给CA主机

在CA主机上签发证书

touch /etc/pki/CA/index.txt
openssl ca -in /etc/pki/CA/https/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Jul  7 03:22:18 2020 GMT
            Not After : Jul  7 03:22:18 2021 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = BJ
            organizationName          = Default Company Ltd
            commonName                = 10.216.91.117
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                F7:7A:46:30:2A:0E:C2:41:80:F0:D9:FB:0F:64:9F:CE:56:13:33:BD
            X509v3 Authority Key Identifier: 
                keyid:B4:91:CE:D9:99:FF:3E:A9:90:E0:47:0B:8B:41:04:16:FD:8C:41:0D

遇到的问题:

  1. The mandatory stateOrProvinceName field was missing
  2. The commonName field needed to be supplied and was missing
  3. The countryName field needed to be the same in the CA certificate (XX) and the request (CN)

吊销证书

在客户端获取要吊销的证书的serial

openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject

serial=01
subject= /C=CN/ST=BJ/O=Default Company Ltd/CN=10.216.91.117

在CA服务器吊销证书

根据上一步查到的serial,吊销相应的证书

openssl ca -revoke /etc/pki/CA/newcerts/01.pem

生成吊销证书的吊销编号(第一次吊销证书时执行)

echo 01 > /etc/pki/CA/crlnumber

更新证书吊销列表

openssl ca -gencrl -out thisca.crl

查看crl文件

openssl crl -in /etc/pki/CA/thisca.crl -noout -text
多维217
关注
专栏目录
使用OpenSSL生成/签发证的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证签名请求(.csr)2.3 (可选)直接同时生成私钥和证签名请求2.4 将证申请请求(.csr)提交给CA认证机构申请证(.crt)2.5 CA机构生成CA证链3 生成自签名证3.1 创建私钥(.key)3.2 基于私钥(.key)创建证签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证签名请求(.csr
OpenSSL创建私有CA
留记
03-12 2475
PKI 公开密钥基础建设(英语:Public Key Infrastructure,缩写:PKI),又称公开密钥基础架构、公钥基础建设、公钥基础设施或公钥基础架构,是一组由硬件、软件、参与者、管理政策与流程组成的基础架构,其目的在于创造、管理、分配、使用、存储以及撤销数字证。 密码学上,公开密钥基础建设借着数字证认证机构(CA)将用户的个人身份跟公开密钥链接在一起。对每个证中心用
生成PKI公私密钥对及数字证
飞鸟
05-27 5020
转载自:http://openwares.net/misc/pki_key_pair_certificate.html PKI体系是数字证的基础。 有些情形只需要公私密钥对就够了, 不需要数字证,比如私有的SSH服务。但是对于一些要求身份认证的情形,则需要对公钥进行数字签名形成数字证。 公私密钥对(key pair) 有两种常见的工具来生成RSA公私密钥对
使用 OpenSSL 创建自签名证
最新发布
qq_44912603的博客
09-01 1205
ssl
OpenSSL生成CA根证来签名Keytool生成的证请求
Langeldep的专栏
02-03 7298
我上一篇文章 (配置JAVA SSL/TLS 之websocket wss交互式认证)生成的证都是java  keytool 的证,都是自签名的证, 不是第三方签名的证。下面我要虚拟一个CA出来, 用CA来签名。1、创建CA的私钥openssl genrsa -out ca.key 20482、创建CA自签名证openssl req -x509 -new -nodes -key ca.k
银河麒麟服务器操作系统搭建证服务器并颁发可用于签名的证步骤说明
yeyuningzi的博客
01-17 2912
银河麒麟服务器操作系统中使用openssl部署并签发用于签名的测试证步骤说明
Openssl搭建私有CA认证
weixin_33754913的博客
09-21 174
概述CA英文全称Certification Authority,即数字证认机构。从广义上来说,CA是负责发放和管理数字证的权威机构,并作为用户数字认证中受信任的第三方,承担公钥体系(PKI)中公钥的合法性检验的责任,在互联网上,实现用户与用户、用户与企业之间的数字身份认证。本文通过使用openssl进行搭建私有CA认证体系,从而简单地了解CA的认证过程。搭建私有CA,可以...
使用 OpenSSL 创建生成CA 证服务器客户端证及密钥
01-16
在测试环境中,你可以自签证,但在生产环境中,应该使用权威的公共CA或者购买商业证,以提高用户的信任度。 总结来说,OpenSSL 提供了生成和管理SSL的全套工具,通过创建CA证、服务器证和客户端证,...
使用openssl生成自签名证
06-13
使用openssl生成IIS可用的SHA-256自签名证 超详细步骤!
使用OpenSSL创建自签名证(详细过程和工具)
netconer的博客
05-26 3199
需求来源于使用Node.js创建一个Websocket服务器,如果使用ws://协议则不需要证。这就要用到签名证,通常需要从可信任的证颁发机构获取,但是自己内部使用可以使用OpenSSL创建自签名证。此步骤会提示填写国家代码、省、市、公司、人名、邮箱等信息,可按需要填写或填入“."保持空白,或直接回车。2. 通过私钥文件生成CSR证签名请求文件(例: 名称为“req_csr.pem”)3. 通过私钥文件和CSR证签名生成文件(例: 名称为“server.crt”)(windows版本)。
openssl自签名CA根证、服务端和客户端证生成并模拟单向/双向证验证
赴前尘
02-03 1665
openssl自签名CA根证、服务端和客户端证生成并模拟单向/双向证验证
openssl命令详解
minioesina的Linux
03-04 1万+
OpenSSL 是一个开源项目,其组成主要包括一下三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl及tls 1、对称加密 对称加密需要使用的标准命令为enc,用法如下: openssl enc -ciphername [-in filename] [-out filename] [-pass arg] [-e...
Openssl生成CA证及服务器签名证
xyyaiguozhe的专栏
12-13 2619
环境: CentOS linux2.6.18-164.el5 openssl version OpenSSL 1.0.0d 8 Feb 2011 1. 给CA生成一个私匙 [root@localhost SSL]# openssl genrsa 2046 > ./cakey.pem Generating RSA private key, 2046 bit long modulus .
Java加密技术(十一)——双向认证
热门推荐
AI开源工具分享
11-07 3万+
对于双向认证,做一个简单的描述。  服务器端下发证,客户端接受证。证带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘
实现HTTPS系列第五弹(终章)之【通过OpenSSL实现HTTPS】
weixin_34007020的博客
06-07 1361
博文说明【前言】: 本文为实现HTTPS系列终章,将通过个人口吻从开始到结束,详细的讲解OpenSSL安装、密钥生成、CSR生成,证生成,ROOT CA创建等配置过程以及httpd的安装及配置。 如想快速实现配置,可以直接拉到文章末尾,我将配置命令挑出来进行了总结。 在目前时间点【2017年6月7号】下,所掌握的技术水平有限,可能会存在不少知识理解不够深入...
MAC OpenSSL: OpenSSL CA Signing Error field needed to be the same in the CA certificate
坚果技术基地
07-06 2870
在MAC OS使用命令行OpenSSL生成SSL时,openssl报错: The stateOrProvinceName field needed to be the same in the CA certificate (Beijing) and the request (Beijing) 解决方法,编辑:/System/Library/OpenSSL/openssl.cnf
使用OpenSSL工具制作X.509证的方法及其注意事项总结
平凡之路
05-04 2万+
如何使用OpenSSL工具生成根证与应用证 本文由CSDN-蚍蜉撼青松 【主页:http://blog.csdn.net/howeverpf】原创,转载请注明出处!   零、写在前面        最近出于工作需要,倒腾了一下如何生成X.509证。在此过程中遇到一些问题,也查过网上很多资料,磕磕碰碰,总算按照既定要求达到了目标。因为感觉网上的资料太散,查找起来不很方便,所以在这里做一...
openssl 制作SM2多级证
kuying0518的博客
05-27 4386
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
openssl采用sm2进行自签名的方法
weixin_45548465的博客
05-20 4748
系统:centos7 oenssl官网:https://www.openssl.org/ openssl 版本高于1.1.1才支持sm2算法 1、编译安装 openssl 下载源码包 openssl-1.1.1n.tar.gz 解压 tar zxvf openssl-1.1.1n.tar.gz cd openssl-1.1.1n/ yum安装 gcc,编译安装需要使用 gcc yum install -y gcc gcc-c++ 指定安装路径 mkdir /usr/local/openssl .
openssl生成自签ca证
08-16
要使用 OpenSSL 生成自签名 CA 证,你可以按照以下步骤进行: 1. 首先,确保你已经安装了 OpenSSL 工具。 2. 打开终端或命令行窗口,导航到你想保存证的目录。 3. 生成私钥文件(key.pem): ``` openssl genrsa -out key.pem 2048 ``` 4. 生成自签名证请求(csr.pem): ``` openssl req -new -key key.pem -out csr.pem ``` 在执行该命令时,你需要提供一些证信息,如国家、州、组织等。 5. 使用私钥和证请求生成自签名 CA 证(cert.pem): ``` openssl x509 -req -in csr.pem -signkey key.pem -out cert.pem ``` 在执行该命令时,你还可以设置证的有效期等信息。 6. 现在,你已经成功生成了自签名的 CA 证(cert.pem)和私钥(key.pem)文件。 请注意,自签名的证在生产环境中不被广泛接受。在实际部署中,请考虑使用受信任的第三方证颁发机构(CA)签署证,以确保更好的安全性和信任级别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值