在Linux下如何根据域名自签发OpenSSL证书与常用证书转换

最新推荐文章于 2024-08-12 10:03:13 发布
最新推荐文章于 2024-08-12 10:03:13 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: SSL OpenSSL linux 文章标签: openssl ssl apache nginx tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshizhangliang999/article/details/109019462
版权
本文详细介绍了如何在Linux环境下使用openssl自签发泛域名SSL证书,并提供了证书在Apache、Nginx和Tomcat服务中的配置方法。还涵盖了证书的常见格式转换,包括crt转pem、生成p12、p12转jks、jks转cer等。
摘要由CSDN通过智能技术生成

在Linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。

openssl自签发泛域名(通配符)证书

首先要有openssl工具,如果没有那么使用如下命令安装:

yum install -y openssl openssl-devel

修改openssl.cnf配置文件

具体修改如下

[root@docker02 ~]# vim /etc/pki/tls/openssl.cnf
[ req ]
………………
# 将如下配置的注释放开
req_extensions = v3_req # The extensions to add to a certificate request
………………
[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# 添加如下行
subjectAltName = @SubjectAlternativeName

# 同时增加如下信息
[SubjectAlternativeName]
DNS.1 = zhangbook.com
DNS.2 = *.zhangbook.com

说明:本次我们以 *.zhangbook.com 泛域名为例。

创建根证书

[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]# 
## 创建CA私钥
[root@docker02 ssl]# openssl genrsa -out CA.key 2048
## 制作CA公钥
[root@docker02 ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf 
………………
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:BTC
Organizational Unit Name (eg, section) []:MOST
Common Name (eg, your name or your server's hostname) []:Light Zhang   # 这里就是证书上的:颁发者
Email Address []:ca@test.com

当然上述的公钥制作方式需要交互式输入信息,如果不想频繁输入,那么可以使用如下命令:

## 免交互式制作CA公钥
openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=Light Zhang/emailAddress=ca@test.com"

subj内容详解:

C             = Country Name (2 letter code)
ST            = State or Province Name (full name)
L             = Locality Name (eg, city) [Default City]
O             = Organization Name (eg, company) [Default Company Ltd]
OU            = Organizational Unit Name (eg, section)
CN            = Common Name (eg, your name or your server's hostname)
emailAddress  = Email Address

此时的的文件有:

[root@docker02 ssl]# ll
total 32
-rw-r--r-- 1 root root 1387 Oct  2 10:25 CA.crt
-rw-r--r-- 1 root root 1679 Oct  2 10:04 CA.key

自签发泛域名证书

操作步骤为:

  1. 生成域名私钥
  2. 生成证书签发请求文件
  3. 使用自签署的CA,生成域名公钥

具体如下:

### 当前目录 /root/software/ssl
# 生成 zhangbook.com.key 密钥
openssl genrsa -out zhangbook.com.key 2048
# 生成 zhangbook.com.csr 证书签发请求  交互式
openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf
………………
##### 产生的交互式内容与填写如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:BTC
Organizational Unit Name (eg, section) []:MOST
Common Name (eg, your name or your server's hostname) []:*.zhangbook.com   # 这里就是证书上的:颁发给
Email Address []:ca@test.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:BTC
………………
# 生成 zhangbook.com.csr 证书签发请求  非交互式
openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com"

PS1:上面的Common Name 就是在这步填写 *.zhangbook.com ,表示的就是该证书支持泛域名,common name一定要在SubjectAlternativeName中包含</

最低0.47元/天 解锁文章
LightZhang666
关注
专栏目录
Rockey LinuxOpenSSL制作自签名CA证书
weixin_41687096的博客
07-13 122
Rockey LinuxOpenSSL制作自签名CA证书应用
Linux学习】SSL证书openssl常用命令
午后阳光
12-08 837
是由中国及中国以外地域多家数字证书颁发机构( CA,Certificate Authority)。SSL证书服务将服务从HTTP转换成HTTPS,实现网站或移动应用的身份验证和数据加密传输。将已签发证书安装到Web服务器后,则Web服务将会通过HTTPS加密协议来传输数据。
linux添加域名证书,[Linux] 使用certbot为域名生成免费证书(apache版)
weixin_33871933的博客
05-11 556
1、下载certbot123cd /data/softwget https://dl.eff.org/certbot-autochmod a+x certbot-auto2、生成证书/data/soft/certbot-auto –apache certonly12345Saving debug log to /var/log/letsencrypt/letsencrypt.logCould no...
Linux服务器上http更换https证书
weixin_45762479的博客
02-20 3797
更换https证书 1、去阿里云申请https证书 2、修改nginx中/usr/local/nginx/conf这个路径下nginx.conf文件 重转发301 打开443 ssl端口监听 server_name写你的域名 3、记得修改证书存放路径里面有.pem和.key两个文件 4、进到nginx的sbin目录下使用/nginx -t这个命令检查nginx.conf配置是否正确,不报错可以进行下一步,报错看错误提示进行修改配置。例如:/usr/local/nginx/sbin/nginx -t 5、
linux自建证书流程
最新发布
weixin_45109517的博客
08-12 426
自建证书
什么是公用名Common Name
lz7955823的专栏
10-17 1万+
公用名Common Name 本文转自[记录无限:www.gluoo.cn]. 公用名(Common Name)一般来讲就是填写你将要申请SSL证书域名 (domain)或子域名(sub domain)。   例1:打算为“chinassl.net”申请SSL证 书,那这个公用名(Common Name)就要填写“chinassl.net”,而不能填写 “www.ch
使用OpenSSL实现CA证书的搭建过程
Eumenides_s的博客
09-20 7848
个人博客地址:http://www.pojun.tech/ 欢迎访问什么是CA   CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的时候,对用
使用OpenSSL自建CA简单实现PKI
weixin_33989058的博客
08-03 1247
一、PKI(Public Key Infrastructure) (一)PKI,即公共基础设施 它是利用了公钥技术和x.509证书所提供的安全服务。它由以下部分组成: PKI策略 PKI安全策略建立和定义了一个组织信息安全方面的规则,同时也定义了密码系统使用的处理方法和原则。这包括CA是如何建立和运作的,证书是如何发行、接收和废除的...
linuxopenssl证书签发
何小杰的博客
10-22 2067
linux已经集成了openssl组件,因此博主利用例子讲解如何在linux系统下签发证书,因为个人证书时不受谷歌浏览器认可的,所以自签发证书只能在火狐浏览器下测试使用!
Linux下使用openssl为harbor制作证书
weixin_45432833的博客
10-18 880
使用openssl为harbor制作证书
达梦数据库配置SSL认证加密
sgeblis2的博客
05-19 3109
环境介绍 OS Version:Kylin Linux Advanced Server release V10 (SP1) /(Tercel)-x86_64-Build19/20210319 DB Version:DM V8 1-2-18-21.06.24-142387-10013-ENT Pack4 OpenSSLOpenSSL 1.1.1f JAVA:openjdk version “1.8.0_242” 64bit 参考手册:《DM8_DISQL使用手册》《DM8安全管理》《DM8程序员手
基于 OpenSSL 自建 CA 和颁发 SSL 证书
ximenghappy的专栏
02-08 4090
基于 OpenSSL 自建 CA 和颁发 SSL 证书原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS,证书的需求随之增加。那么对于我们开发者,通过自签名证书...
TLS协议分析
热门推荐
周自信的技术博客
04-21 2万+
TLS协议分析 2015-09-06 本文目标: 学习鉴赏TLS协议的设计,透彻理解原理和重点细节 跟进一下密码学应用领域的历史和进展 整理现代加密通信协议设计的一般思路 本文有门槛,读者需要对现代密码学有清晰而系统的理解,建议花精力补足背景知识再读。本文最后的参考文献里有一些很不错的学习资料。 目录 : 1 2 3 4 5 6 7
SSL证书过期替换之踩坑总结
weixin_34010949的博客
04-04 1万+
通过阿里云>云盾>SSL证书申请的免费版证书或者其他证书到期后,重新购买证书或者续租后,需要替换新的证书私钥和公钥文件到相应的资源中方可正常使用。 之前的使用过程中,只是替换了CDN和SLB的证书文件,导致有些服务无法使用,现在总结一下需要替换的地方,供大家参考: SLB 从SLB控制台-证书管理中查看,到快到过期时间的域名证书对应的“关...
Openssl编程获取证书common name
auvKone
05-20 5086
Talk is cheap, show me the code!#include <stdio.h> #include <stdlib.h> #include <assert.h> #include <openssl/bio.h> #include <openssl/x509v3.h>int main(int argc, char **argv) { char cn[256] = "";
chrome 自签名证书_使Chrome在Linux上接受自签名证书
cuma2369的博客
07-23 932
chrome 自签名证书If your website uses a self-signed certificates, Chrome will show a warning every time and you need clicks to continue. In this post, I will introduce how to make Chrome accept self-signed...
Tomcat + SSL双向认证(用keytool创建的证书
南歌的博客
04-22 444
步骤说明: 1、为Tomcat配置https配置CA证书 准备CA证书; 配置TomcatSSL连接器 2、通过 https 方式访问Web站点 实验过程: 1、创建自我签名的证书 Linux: 进入%JAVA_HOME%bin 目录: cd %JAVA_HOME%bin 在某个目录下生成.keystore文件(这里的目录是 /usr/local/...
使用openssl+nginx配置自签发HTTPS证书实战
在某些情况下,我们可能需要自签发证书,例如在内部测试环境或者开发环境中。本文档详细介绍了如何使用openssl工具自签发HTTPS证书,并结合nginx服务器实现配置。 首先,准备工作是关键。你需要一个拥有openssl环境...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值