SSL 密钥对生成及应用

最新推荐文章于 2023-05-22 17:00:07 发布
最新推荐文章于 2023-05-22 17:00:07 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 软件安全 文章标签: ssl server tomcat 加密 scheme 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wolma/article/details/2806498
版权

生成根证书

Ø         生成CA私钥

u       openssl genrsa -out ca/ca-key.pem 1024

Ø         用刚才生成的CA私钥 生成一个待签名的证书 ca-req.csr(Certificate Signing Request)

u       openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem -config "E:/Program Files/Java/openssl/openssl.cnf“

Ø         CA私钥ca-key.pem自签名ca-req.csr,得到ca-cert.pem 这个就是我们导入IECA根证书

u       openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650

     这里我把有效期写了10年,因为这是根证书,后面serverclient端的证书都要用它来签名,所以有效期很长,而且这个文件很重要,一定妥善保管,如果丢了它就无法再发布新的client端证书。

根证书保护

Ø         为了这个证书的安全,我们使用一下命令为其加密。

u       openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca-cert.pfx

这个pfx是加密的,使用时需要输入密码来解出需要的ca-cert.pem ca-key.pem

Ø         PKCS12格式的CA证书导出不加密的CA证书: work/ca/ca-cert.pem

u       openssl pkcs12 -in ca/ca-cert.pfx -clcerts -nodes -nokeys -out ca/ca-cert.pem.1

这个文件里多了4行注释,下面命令去掉它也可以手动删掉:

u       sed.exe -e '1,4d' work/ca/ca-cert.pem.1 > work/ca/ca-cert.pem

Ø         PKCS12格式的CA证书导出CA私钥: ca/ca-key.pem

n         openssl pkcs12 -in ca/ca-cert.pfx -clcerts -nodes -out file.pem

openssl rsa –in ca/file.pem -out ca/ca-key.pem

生成服务端证书

Ø         生成server密钥对 保存在server/server_keystore里。

u       keytool -genkey -alias tomcat5_server -validity 365 -keyalg RSA -keysize 1024 -keystore server/server_keystore

Ø         使用上一步的server_keystore生成待签名证书server.csr

u       keytool -certreq -alias tomcat5_server -sigalg MD5withRSA -file server/server.csr  -keystore server/server_keystore

Ø         使用CA私钥ca-key.pemca-cert.pem 签名server.csr 生成 server-cert.pem

u       openssl x509 -req -in server/server.csr -out server/server-cert.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -days 365

导入服务端证书

Ø         导入CA根证书

u       keytool -import -v -trustcacerts -alias tomcat5_server -file ca/ca-cert.pem -keystore cacerts

拷贝cacerts文件到C:/j2dk/jre/lib/security目录。这很重要。

Ø         导入服务器证书到server_keystore.

u       keytool -import -v -trustcacerts -alias tomcat5_server -file server/server-cert.pem -keystore server/server_keystore

我们生成的server-cert.pem证书是放在cacertsserver_keystore里来使用的。这两个文件有一个相互校验过程。如果不匹配,工作则不正常。

生成client端证书

Ø         生成客户端密钥

openssl genrsa -out client/client-key.pem 1024

Ø         使用 client-key.pem 生成client-req.csr. 准备签名

openssl req -new -out client/client-req.csr -key client/client-key.pem -config "E:/Program Files/Java/openssl/openssl.cnf"

Ø         使用ca-cert.pem ca-key.pem签名client-req.csr 产生client-cert.pem证书。

openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAserial ca/ca-cert.srl -days 365

Ø         生成Client端可以导入的个人证书 pkcs12

openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

这里有个密码要输入,在导入client.p12IE里时也需要输入

应用到Tomcat

server/server_keystore 拷贝到tomcat_home/conf/ 修改 server.xml文件 如下

    <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="${catalina.home}/conf/server_keystore" keystorePass=yourpassword“/>

    clientAuth = “true” 表示要客户端认证,False表示不认证

wolma
关注
专栏目录
生成公钥密钥工具(Openssl) 64位
05-18
下载ssl比较复杂,操作也不方便。直接使用该安装包,安装后,启动bin目录下openssl.exe,然后使用命令创建公钥和私钥。具体命令详见我的博客。
RSA-S密钥生成工具(key pair generate tools for RSA-S ).rar
05-14
"RSA-S密钥对的生成与使用(Generation and Usage of RSA-S Key Pairs).pdf" 这份文档很可能详述了RSA-S算法的实现细节,包括如何生成密钥对,以及在实际应用中如何正确使用这些密钥。通常,生成RSA密钥对的过程包括...
生成SSL密钥对的步骤不止这些
weixin_41888295的博客
05-22 489
SSL(Security Socket Layer)是一种安全套接字层(Socket Layer)协议,它被用于在Web服务器之间建立安全通信通道,以确保传输的数据始终保持加密状态。在网络安全领域,SSL/TLS协议作为互联网上最为流行的安全通信协议之一,其安全性与密钥管理密切相关。本文将从Nginx负载均衡、SSL原理、生成ssl密钥对、配置ssl等方面,深入探讨密钥管理在SSL连接中的重要性以及未来的发展趋势。最后,将公私钥对绑定到SSL证书上,并将证书存储在服务器上以备后续使用。
ssl 原理、生成ssl密钥、配置nginx ssl```
weixin_34380948的博客
07-11 344
2019独角兽企业重金招聘Python工程师标准>>> ...
SSL密钥生成
weixin_34341117的博客
01-08 1974
2019独角兽企业重金招聘Python工程师标准>>> ...
生成ssl密钥
weixin_33910137的博客
01-09 268
cd /usr/local/nginx/conf首先要有openssl,没有需要安装rpm -qf which opensslopenssl-1.0.2k-8.el7.x86_64 openssl genrsa -des3 -out tmp.key 2048 //rsa形式的key文件为私钥openssl rsa -in tmp.key -out aminglinux.key //-in转换k...
SSL证书在线生成系统源码
最新发布
09-20
公钥基础设施(Public Key Infrastructure, PKI)是SSL证书的核心组成部分,包括证书颁发机构(CA)、注册机构(RA)、密钥生成、证书存储和撤销列表等。在PKI中,每个用户都有两把密钥:公钥和私钥。公钥用于加密...
sslkeylog:记录SSLTLS密钥以解密Python中建立的SSLTLS连接
05-21
Python 3.8+包含对通过ssl.SSLContext.keylog_filename生成SSL密钥日志文件的内置支持,并且在通过ssl.create_default_context创建上下文时设置了SSLKEYLOGFILE环境变量时,也会启用该ssl.create_default_context ...
OpenSSL生成ssl证书
01-11
2. **生成密钥对**:使用OpenSSL生成私钥文件,通常命名为`private.key`。运行以下命令: ``` openssl genrsa -out private.key 2048 ``` 这将生成一个2048位的RSA私钥。 3. **生成证书签名请求(CSR)**:接着,...
ssl.rar_SSL 证书_ssl_ssl证书_证书生成
09-19
这个公开密钥用于客户端对敏感信息的加密,只有服务器拥有相应的私钥才能解密。这样,即使中间人截取了数据,也无法读取其内容,因为没有私钥。 SSL证书通常由受信任的证书颁发机构(CA)签署,以确保服务器的身份...
http_认证机制&https加密&TLS&SSL&密钥对(公钥&私钥)
xuchaoxin1375的博客
05-28 2408
文章目录http_认证机制&https加密&TLS&SSL&密钥对(公钥&私钥)何为认证HTTP 使用的认证方式BASIC认证(不常用)BASIC认证的问题DIGEST 认证(不常用)DIGEST的问题HTTP 的缺点http加密http通信的加密&httpshttps的改进目标内容的加密伪装SSL证书PKI vs Web of trustTLS&SSL协议SSL 客户端认证SSL 客户端认证的认证步骤更多https&ssl密钥&公钥&
SSL作用及原理详解
TechnologyShare的博客
11-15 1428
SSL的作用及原理 SSL是工作在运输层的协议,提供运输层安全的协议,目前有SSL和TLS协议在运输层提供安全, SSL在客户端和服务器双方连接阶段协商将使用的加密算法和密钥,以及客户端和服务器之间的鉴别,连接完成后,双方都使用协商好的会话密钥。 那SSL是怎么保证安全的呢: 1)密钥交换算法:为了交换经过鉴别和保密后的报文,客户端和服务器各需要一组加密用的密钥。 2)加密/解密:客户端和服务器各需要协商的一组加秘密和解密算法。 3)散列算法:SSL使用散列算法保证报文完整性(报文的鉴别)。 4)压缩算法
cfssl生成密钥
诸葛小猿
06-01 5278
欢迎关注个人博客和微信公众号,有问题可以相互交流。 个人博客:http://wuxiaolong.tech/ 微信公众号:吴晓龙 参考: https://www.colabug.com/4887803.html https://blog.51cto.com/liuzhengwei521/2120535?utm_source=oschina-app 可以在阿里云申请证书,免...
ssl 生成证书和私钥
wesoner的博客
05-23 6700
1. 生成证书和私钥    openssl req -new -x509 -out my.pem -keyout my.key      -x509    生成自签名证书      -out filename   输出证书到文件      -keyout filename    输出私钥到文件 提示输入密码时输入 mypass。        两个文件都是 PEM 格式,这里取同样的名字和不同后...
OpenSSL生成根证书CA及签发子证书
weixin_33943836的博客
05-09 259
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA根证书,并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: ? 1 sudoyuminstallopenssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文...
OpenSSL创建生成CA证书、服务器、客户端证书及密钥
^_^
11-06 2万+
使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥 目录使用OpenSSL创建生成CA证书、服务器、客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书、server证书、server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
SSL证书生成方法
热门推荐
fyang的专栏
02-12 8万+
一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。 需要手工生成证书的情况有: 找不到可用的证书 需要配置双向SSL,但缺少客户端证书 需要对证书作特别的定制 首先,无论是在Linux下还是在Windows下的Cygwin中,进行下面的操作前都须确认已安装OpenSSL软件包。 1. 创建根证书密钥文件(自己做CA)root.key: openssl genrsa -d
php ssl生成密钥和证书
qiuqiuLovecode的博客
11-06 2836
<?php/*生成公钥和私钥*/ function exportOpenSSLFile(){ $opensslConfigPath = "D:/phpStudy/Apache/conf/openssl.cnf"; $config = array( "digest_alg" => "sha512", "private_key_bits" => 4096,
OpenSSL详解:密钥生成与安全应用
"本文详细介绍了如何使用OpenSSL工具生成密钥对,特别强调了`genrsa`命令的使用,包括密钥长度的选择以及密钥文件的安全性。此外,文章还概述了OpenSSL的基本概念、组成及广泛应用。" OpenSSL是一个强大的安全套接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值