openssl生成自签证书各项含义

已于 2024-01-03 09:44:40 修改
阅读量1k 收藏 25
点赞数 13
文章标签: 服务器 运维
于 2023-11-23 16:57:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wshkeke1/article/details/134581478
版权

openssl req 证书请求和证书生成命令

-new 此选项生成新的证书请求。它将提示用户输入相关字段值。提示的实际字段及其最大和最小大小在配置文件和任何请求的扩展中指定。如果未给出-key选项,它将使用配置文件中指定的信息或通过-newkey和-pkeyopt选项给出的信息生成新的私钥,否则默认情况下为 2048 位长度的 RSA 密钥。


-newkey rsa:2048  除非给出-key, 否则此选项用于生成新的私钥。随后使用它,就像使用-key选项给出的一样。此选项意味着使用-new标志来创建新的证书请求或在给出 -x509 的情况下创建新的证书。


-noenc  如果指定此选项,那么即使创建私钥,也不会对其进行加密。


-nodes  自 OpenSSL 3.0 起,此选项已弃用;使用-noenc代替。  


-subj "/C=CN/ST=Beijing/L=Beijing/O=Super Inc./OU=Web Security/CN=$IP"

-x509 此选项输出证书而不是证书请求。 这通常用于生成测试证书。

 
-keyout 这给出了用于写入新创建的或从-key读取的任何私钥的文件名。如果-keyout选项和-key选项均未给出,则使用配置文件中通过default_keyfile选项指定的文件名(如果存在)。因此,如果您想写入私钥并且提供了-key选项,则应显式提供-keyout选项。如果生成新密钥并且未指定文件名,则该密钥将写入标准输出。


-out $IP.csr 

openssl x509 证书显示和签名命令
-req 
-days 365 
-in $IP.csr 
-signkey $IP.key 
-out $IP.crt 
-extfile http.ext

/docs/man3.0/man1/index.html

创建私钥,然后从中生成证书请求:
openssl genrsa -out key.pem 2048
openssl req -new -key key.pem -out req.pem
相同但只是使用 req:
openssl req -newkey rsa:2048 -keyout key.pem -out req.pem

#!/bin/bash


#输入证书使用IP地址
IP=$1

rm $IP.csr $IP.key $IP.crt -f

rm http.ext

cat >> http.ext  <<EOF
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]
IP.1=127.0.0.1
IP.2=$IP
EOF

openssl req -new -newkey rsa:2048 -noenc -out $IP.csr -keyout $IP.key -subj "/C=CN/ST=Beijing/L=Beijing/O=Super Inc./OU=Web Security/CN=$IP"

openssl x509 -req -days 36500 -in $IP.csr -signkey $IP.key -out $IP.crt -extfile http.ext

生成后,电脑安装 *.crt证书

-----------------------------

openssl相关


cp /owncrt/crtificate.key "${crtIFICATES_LIVE_FOLDER:?}/${DOMAIN_OR_PUBLIC_IP}/privkey.pem"
cp /owncrt/crtificate.crt "${crtIFICATES_LIVE_FOLDER:?}/${DOMAIN_OR_PUBLIC_IP}/fullchain.pem"

# SSL Config
ssl_crtificate         conf.d/live/fullchain.pem;
ssl_crtificate_key     conf.d/live/privkey.pem;
ssl_trusted_crtificate conf.d/live/fullchain.pem;

  openssl req -new -nodes -x509 \
    -subj "/CN=${DOMAIN_OR_PUBLIC_IP}" -days 365 \
    -keyout "xxx-crt/privkey.pem" \
    -out "xxx-crt/fullchain.pem" \
    -extensions v3_ca

openssl req -new -newkey rsa:2048 
-nodes 
-keyout my.key 
-out my.csr 
-subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"


---------------------------------------
1、CA根证书的生成步骤
制作 ca.key 私钥                          ca.key
openssl genrsa -aes256 -out ca.key 2048

请求证书                                  ca.csr
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CA/emailAddress=admin@test.com"

自签证书                                  ca.cer
openssl x509 -req -days 36500 -sha256 -extensions v3_req -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer


2、生成服务端证书
创建服务器私钥                            server.key
openssl genrsa -aes256 -out server.key 2048

生成证书请求                              server.csr
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=admin@test.com"

使用CA证书签署服务器证书                   server.cer
openssl x509 -req -days 36500 -sha256 -extensions v3_req  -CA  ca.cer -CAkey ca.key  -CAserial ca.srl  -CAcreateserial -in server.csr -out server.cer


3、生成客户端证书
生成客户端私钥                            client.key
openssl genrsa -aes256 -out client.key 2048

申请证书                                 client.csr
openssl req -new -sha256 -key client.key  -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=admin@test.com"

使用CA证书签署客户端证书                  client.cer
openssl x509 -req -days 36500 -sha256 -extensions v3_req  -CA  ca.cer -CAkey ca.key  -CAserial ca.srl  -CAcreateserial -in client.csr -out client.cer

--------------------------------


# 生成根证书私钥                     ca.key
openssl genrsa -out ca.key 4096

# 签发根证书,有效期100年            ca.crt
openssl req -new -x509 -key ca.key -out ca.crt -days 36500


# 生成网站私钥                      private.key
openssl genrsa -out private.key 4096

# 使用网站私钥生成证书请求文件       private.csr
openssl req -new -out private.csr -key private.key -config ssl.conf 

# 签发证书,有效期100年             private.crt
openssl x509 -req -days 36500 -in private.csr  -out private.crt  -CA ca.crt -CAkey ca.key  -extfile ssl.conf  -extensions req_ext  -CAcreateserial


配置https双向认证时其中
CA.cer是用来安装在浏览器、安卓和苹果设备上的根CA信任证书
server.cer和server.key以及CA.cer是放在服务端的证书和key文件以及CA证书,在Nginx中配置即可。


------------------------

openssl genrsa -out my.key 2048
openssl req -new -key my.key -out my.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

openssl req -new -newkey rsa:2048 -nodes -keyout my.key -out my.csr -subj "/C=CN/ST=shanghai/L=shanghai/O=example/OU=it/CN=domain1/CN=domain2"

------------------------
测试

# 生成根证书私钥                     ca.key
openssl genrsa -out ca.key

# 签发根证书,有效期100年            ca.crt
openssl req -new -x509 -key ca.key -out ca.crt -days 36500 -subj "/CN=CASHWAY"


# 生成网站私钥                      private.key
openssl genrsa -out private.key

# 使用网站私钥生成证书请求文件       private.csr
openssl req -new -out private.csr -key private.key -config ssl.conf 

# 签发证书,有效期100年             private.crt
openssl x509 -req -days 36500 -in private.csr  -out private.crt  -CA ca.crt -CAkey ca.key  -extfile ssl.conf  -extensions req_ext  -CAcreateserial

openssl x509 -req -days 36500 -in private.csr  -out private.crt  -CA ca.crt -CAkey ca.key  -extensions req_ext  -CAcreateserial

S-mason
关注
  • 13
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL 密码库实现证书签发流程详解_加密机证书签发
2401_84003523的博客
04-05 2105
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!入式&物联网开发知识点,真正体系化!**[外链图片转存中…(img-lPboa6WZ-1712303132612)][外链图片转存中…(img-Nl8wlEFC-1712303132613)]由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新如果你觉得这些内容对你有帮助,可以+V:Vip1104z获取!!!(备注:嵌入式)你的支持,我的动力;
SSL自签署证书生成脚本
00's Blog
11-09 1588
view plainprint? #!/bin/sh   #      # ssl 证书输出的根目录。   sslOutputRoot="/etc/apache_ssl"   if [ $# -eq 1 ]; then       sslOutputRoot=$1   fi   if [ ! -d ${sslOutputRoot} ]; then       mkd
测试环境:使用OpenSSL生成证书并配置Https
最新发布
liao3399084的博客
07-06 1254
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
生成自签ssl证书
kali_yao的博客
10-18 9839
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
生成自签名证书
paozixiaopu的博客
06-19 813
自签名证书
自建CA并生成自签名SSL证书
AlbertS Home of Technology
11-30 5759
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
OpenSSL 生成自签名证书
HD243608836的博客
04-18 820
学习使用 OpenSSL。由于电脑较卡只能在win上进行演示。方法一、openssl x509-req -days365incrt365是自签名证书 的天数完成:cmd在哪里运行的,生成证书会在什么目录下;方法二、完整代码http {defaulttypesendfileon;65;127.0.0.1;
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
在测试环境中,你可以自签证,但在生产环境中,应该使用权威的公共CA或者购买商业证书,以提高用户的信任度。 总结来说,OpenSSL 提供了生成和管理SSL证书的全套工具,通过创建CA证书服务器证书和客户端证书,...
openssl生成证书
12-27
openssl生成证书】知识点详解 在IT领域,OpenSSL是一个强大的安全套接字层密码库,包含各种主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供丰富的应用程序用于测试或其他目的。生成证书是网络...
openssl证书自签
09-01
OpenSSL 证书自签名可以使用 OpenSSL 生成密钥和证书生成密钥和证书的步骤如下: 1. 生成服务器端私钥:`openssl genrsa -out server.key 1024` 2. 生成服务器端公钥:`openssl rsa -in server.key -pubout -out ...
生成自签名SSL证书
mzkuncool的博客
12-17 1866
免费自签名SSL证书
通过openSSL生成自签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
Openssl生成证书-nginx使用ssl
m0_52369979的博客
11-03 1311
上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。6、根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器证书申请文件server.csr生成服务端证书。5、生成自签名证书,CA机构用自己的私钥和证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。4、生成CA机构自己的证书申请文件。
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 9017
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器生成 3.客户端方生成
SSL&OpenSSL
kaichekaihanma的博客
07-21 4801
SSL ssl协议(Secure Sockets Layer安全套接层)是一套网络通信安全协议,是由网景公司在1994年创建设计的,它具有数据加密,完整性校验及身份验证功能。它的出现是为了保证网络数据传输的安全性。如果没有SSL的加持,我们在网络中传输的数据就都处在裸奔的状态。SSL协议处在应用层和传输层之间,可以为任何基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议本身分为两层:上层为SSL握手协议(SSL Handshake Protocol),SSL密码变化协议(SSL change ci
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 1577
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
openssl生成自签ca证书
08-16
要使用 OpenSSL 生成自签名 CA 证书,你可以按照以下步骤进行: 1. 首先,确保你已经安装了 OpenSSL 工具。 2. 打开终端或命令行窗口,导航到你想保存证书的目录。 3. 生成私钥文件(key.pem): ``` openssl ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值