SSL双向认证-自签CA证书生成

最新推荐文章于 2024-07-06 09:49:15 发布
最新推荐文章于 2024-07-06 09:49:15 发布
阅读量618 收藏 4
点赞数
分类专栏: WEB Java linux 文章标签: ssl 双向认证
WEB 同时被 3 个专栏收录
42 篇文章 0 订阅
订阅专栏
Java
36 篇文章 1 订阅
订阅专栏
linux
30 篇文章 0 订阅
订阅专栏

SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。

1.生成服务器端私钥和公钥


# 生成服务器端私钥
openssl genrsa -out server.key 2048
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem

2.生成客户端私钥和公钥


# 生成客户端私钥
openssl genrsa -out client.key 2048
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

3.生成CA机构密钥


# 生成 CA 私钥
openssl genrsa -out ca.key 2048
# X.509证书签署请求管理。
openssl req -new -key ca.key -out ca.csr
# X.509证书数据管理。
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt -days 3650

执行命令后需要输入颁发者的信息,即CA机构的信息:

Country Name (2 letter code) [XX]:国家简拼,比如cn
State or Province Name (full name) []:省份拼音,比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音,比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音,比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音,比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip,比如 root
Email Address []:邮箱地址,比如 test@qq.com
A challenge password []:密码,比如 123456
An optional company name []:可不填,直接回车

注意这里的Common Name不要与服务器证书或客户端证书的域名相同,这里使用 root
 

4.颁发服务端证书

# 服务器端需要向 CA 机构申请签名证书
openssl req -new -key server.key -out server.csr
# 向 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -days 3650

5.颁发客户端证书

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt -days 3650

执行命令后需要输入使用者的信息:

Country Name (2 letter code) [XX]:国家简拼,比如cn
State or Province Name (full name) []:省份拼音,比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音,比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音,比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音,比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip,比如 192.168.14.131
Email Address []:邮箱地址,比如 test@qq.com
A challenge password []:密码,比如 123456
An optional company name []:可不填,直接回车

6.生成pkcs12格式证书

#生成pkcs12服务器证书 server.p12,设置密码为123456
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name server -CAfile ca.crt -caname ca

#生成pkcs12客户端证书 client.p12,设置密码为123456
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name client -CAfile ca.crt -caname ca

#服务器端,将客户端证书导入为受信任的证书
keytool -import -trustcacerts -file client.crt -alias client -storepass 123456 -keystore client.jks

感谢原文作者,点击查看原文

一个人也很酷
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Openssl Socket实现SSL双向认证连接 -易语言
06-12
总结来说,使用OpenSSL通过Socket实现SSL双向认证连接涉及证书生成SSL上下文的配置、Socket连接的建立和SSL握手的执行。在易语言环境下,可以借助提供的库文件和示例代码实现这一功能,从而为网络通信提供安全的...
利用OpenSSL自签证书CA颁发证书
11-14 704
其中,-CA参数指定CA证书,-CAkey参数指定CA私钥,-CAcreateserial参数表示生成一个新的序列号文件,-out参数指定输出的证书文件名,-days参数表示证书的有效期。OpenSSL是一个开源的加密工具包,可以用于生成自签证书和颁发证书。在生成证书请求时,需要填写证书的信息,包括国家、地区、组织、单位、通用名称等。其中通用名称应该是您的域名或IP地址。该命令将使用私钥和证书请求生成自签证书。将自签证书的CSR文件发送给CA,由CA颁发证书。在生成证书请求时,也需要填写证书的信息。
openssl 生成nginx自签名的证书
qq_26408545的博客
02-23 1502
openssl req命令主要的功能有,生成证书请求文件, 查看验证证书请求文件,还有就是生成自签证书。主要参数主要命令选项:-new :说明生成证书请求文件-x509 :说明生成自签证书-key :指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。-newkey :-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。
emqx用自签证书开启SSL实现双向认证
最新发布
huzi_1998的博客
07-06 1241
在bin录下手动创建一个openssl.cnf的文件,仅需设置IP地址,其中将IP.1和DNS.1修改为服务器地址。Win64 OpenSSL v3.3.2,安装Win64 OpenSSL v3.3.2完整软件包(一般安装此版本)Win64 OpenSSL v3.3.2 Light,安装Win64 OpenSSL v3.3.2最常用的软件包。Win32 OpenSSL v3.3.2Light,安装Win32 OpenSSL v3.3.2最常用的软件包。选择之前生成好的证书,对应存放。
生成自签证书生成证书和秘钥
技术分享
07-12 4866
SSL- Secure Sockets Layer,现在应该叫"TLS",但由于习惯问题,我们还是叫"SSL"比较多.http协议默认情况下是不加密内容的,这样就很可能在内容传播的时候被别人监听到,对于安全性要求较高的场合,必须要加密,https就是带加密的http协议,而https的加密是基于SSL的,它执行的是一个比较下层的加密,也就是说,在加密前,你的服务器程序在干嘛,加密后也一样在干嘛,不用动,这个加密对用户和开发者来说都是透明的.......
PKCS12证书生成完整步骤
weixin_53069745的博客
05-05 2292
将私钥和证书合并为PKCS12格式 openssl pkcs12 -export -in cert.crt -inkey private.key -out cert.p12。创建自签证书 openssl x509 -req -days 3650 -in cert.csr -signkey private.key -out cert.crt。生成证书请求 openssl req -new -key private.key -out cert.csr。
CA证书制作实战
凉茶铺的博客
07-24 2740
需求自建CA颁发证书使用自签证书来构建安全网络,所谓自签证书,就是自己扮演CA机构,自己给自己的服务器颁发证书
使用OpenSSL生成PKCS#12格式的证书和私钥
一切有为法,如梦亦如幻,如露亦如电,应作如是观。
12-17 4104
我们可以根据需要进行更多的配置和调整。此外,如果您具有可用的CA证书和私钥,可以使用类似的命令生成PKCS12文件。确保妥善保管和保护您的私钥和证书
证书类型、自签CA证书、https双向认证(一篇就懂系列)
MX__LL的博客
06-16 7220
证书类型、自签CA证书、https双向认证(一篇就懂系列)
OpenSSL证书(三)PKCS#12证书
qunxuehui的博客
11-08 1160
本篇是本系列的最后一篇,另两篇链接如下。
android访问自签CA的Https SSL双向认证(j2SE也能使用)
08-03
本篇文章将深入探讨如何在Android应用中实现对自签CA的HTTPS SSL双向认证,并且这些实现方法同样适用于Java SE(J2SE)环境。 首先,我们需要了解HTTPS的基本原理。HTTPS是HTTP协议的安全版本,它通过SSL/TLS协议来...
Java实现SSL双向认证的方法
09-01
SSL双向认证中,服务器和客户端都需要拥有各自的数字证书,这些证书由可信任的证书颁发机构(CA)签署,以证明它们的身份。当客户端连接到服务器时,不仅需要验证服务器的证书,服务器也需要验证客户端的证书,确保...
SSL双向认证.rar
04-05
1. **公钥基础设施(PKI)**:这是实现SSL双向认证的基础,由证书颁发机构(CA)、公钥、私钥等组成。每个参与方都有一对密钥,公钥用于加密信息,私钥用于解密。 2. **数字证书**:服务器和客户端都需要各自的数字...
ssl双向认证 -- openssl生成证书
weixin_42497363的博客
10-27 1167
ssl双向认证--openssl生成证书
【gRPC】自签CA、服务端和客户端双向认证
时光、疏离了记忆づ童话的博客
04-22 1983
前言 在上一篇文章Protobuf中间文件介绍、使用、Go新版本TLS证书认证问题中,我们简单使用了grpc的单项认证,客户端和服务端使用的证书都是由ca证书签发给服务端的,在本文中,我们进行双向认证,利用ca证书给客户端和服务端都签发一份证书,服务端会验证客户端的证书,同时客户端也会验证服务端的证书。 一、双向认证 1.1 CA证书生成 在openssl的bin目录下新建一个配置文件ca.conf,文件内容如下: [ req ] default_bits = 2048 distinguis
使用自签CA证书为EMQX开启双向认证
架构师实战感悟
06-11 1584
使用不同的 CA 服务,证书签发的流程以及需要的参数不同,如大部分支持安全芯片的设备,其私钥通常由设备端生成,通过向 CA 发送 csr 请求文件的方式获取CA机构签发证书。下文仅借助流行的 cfssl 工具来完成证书的创建工作,设备端私钥由 cfssl 工具生成,如果尚未安装 cfssl 工具,请查看。根CA为EMQX服务签发服务器端证书,以及给中间CA签发中间证书,由中间CA给设备签发设备证书。通过上边的命令,将会得到 emqx 服务端的私钥。通过上边的命令,将会得到中间CA的私钥。
springboot基于keytool实现https的双向认证
BestEternity的博客
06-27 2297
springboot基于keytool实现https的双向认证
openssl证书生成和管理 证书签名请求(CSR)的创建、自签证书CA签名证书生成,以及证书内容的查看 生成自签名的根证书颁发机构(CA)的密钥和证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 3483
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥和私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA证书的持有者本人)签名的。自签证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
tomcat ssl双向认证
07-29
Tomcat SSL双向认证是一种在Tomcat服务器上实现的安全认证机制。它通过使用SSL证书来确保服务器和客户端之间的双向身份验证和通信的安全性。 在此认证过程中,服务器和客户端都需要拥有有效的SSL证书。服务器端证书由可信的证书颁发机构(CA签发,用于验证服务器的真实性和身份。客户端证书是由服务器颁发并保存于客户端的证书,用于验证客户端的真实性和身份。 要实现Tomcat SSL双向认证,首先需要在Tomcat服务器上配置SSL连接。在服务器端,需要生成或购买一个有效的服务器SSL证书,并将其配置到Tomcat的SSL Connector中。这样,服务器就可以使用该证书来进行加密和解密操作,以确保通信的机密性和完整性。 接下来,在客户端上,需要生成一个SSL证书请求,并将其发送到服务器以获取客户端证书。服务器收到请求后,会生成一个客户端证书并发送给客户端。客户端需要将该证书配置到其SSL连接中。 当客户端与服务器建立连接时,会发生以下过程:首先,服务器会向客户端发送其SSL证书。客户端会验证该证书是否由可信的CA签发,并检查证书中的信息是否与服务器的身份相匹配。如果验证通过,客户端会发送自己的证书给服务器。 服务器同样会验证客户端证书的有效性,并检查其是否与客户端的身份相匹配。只有在双向验证都通过的情况下,服务器和客户端才能建立安全的SSL连接。 通过Tomcat SSL双向认证,可以有效防止中间人攻击和恶意伪造,提高通信的安全性和可靠性。但是,双向认证也需要更复杂的配置和管理,包括证书生成、分发和更新,以及对证书的严格控制和保护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值