自建SSL证书(兼容ios)

最新推荐文章于 2024-06-26 06:45:00 发布
最新推荐文章于 2024-06-26 06:45:00 发布
阅读量951 收藏 12
点赞数 11
分类专栏: 运维 文章标签: ssl ios 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xgw1010/article/details/137242310
版权
本文详细解释了在创建SSL/TLS服务器证书时,几个关键的扩展和属性,如SAN、KeyUsage、EKU等,以确保浏览器的信任和安全性。指南涵盖了自签名根证书和服务器证书的生成过程,以及如何设置证书策略和过期管理。
摘要由CSDN通过智能技术生成

于SSL/TLS服务器证书,特别是那些用于HTTPS网站的证书,有几个关键的扩展和属性是必要的,以确保证书可以被客户端(如浏览器)正确识别和信任。这些细节对于确保加密连接的安全性至关重要。以下是一些关键的证书详情和扩展:

  1. 主题备用名称 (Subject Alternative Name, SAN)
    SAN字段允许证书指定多个资源名称(比如,多个域名或IP地址)。对于现代的浏览器和客户端,此字段几乎是必需的,因为它们会检查访问的域名是否包含在证书的SAN中。

  2. 密钥用途 (Key Usage, KU)
    这个扩展定义了证书的密钥可以执行的安全操作。对于服务器证书,通常需要包括“数字签名”(digitalSignature)(证明信息是由私钥持有者签名的)和“密钥加密”(keyEncipherment)(允许使用公钥加密数据,以便只有对应的私钥持有者可以解密)。

  3. 扩展密钥用途 (Extended Key Usage, EKU)
    EKU进一步细化了证书的使用场景。对于HTTPS服务器证书,这通常包括“服务器身份验证”(serverAuth)标识符,表明该证书可以用于验证服务器的身份。

  4. 基本约束 (Basic Constraints)
    对于根证书或任何中间CA证书,基本约束必须设置为CA(证书颁发机构)=TRUE,并且可选地包含一个路径长度约束,这指定了从该CA到最终叶子证书之间的中间CA数量上限。对于一个终端实体(比如服务器或客户端)的证书,CA通常应设置为FALSE。

  5. CRL分布点 (CRL Distribution Points)
    这个扩展包含了获取证书吊销列表(CRL)的URL,客户端可以使用这些URL来检查证书是否已被吊销。

  6. 证书策略 (Certificate Policies)
    证书策略定义了颁发证书的策略或用途。虽然这不是技术上强制的,但它提供了关于证书可能被接受用途的信息。
    确保这些扩展和属性正确设置是创建SSL/TLS证书的重要部分,特别是当你打算让证书被公众信任的客户端(如互联网浏览器)接受时。如果你是自己生成这些证书(比如用OpenSSL),需要确保在证书签名请求(CSR)和/或在证书生成过程中正确指定这些属性。

1、生成根证书

生成rsa私钥

openssl genpkey -algorithm RSA -out rootCA.key -pkeyopt rsa_keygen_bits:2048

创建根证书的配置文件
为了确保包含所有必要的扩展,最好创建一个配置文件(比如命名为rootCA.conf)来定义证书的参数和扩展:

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[dn]
C = CN
ST = GuangDong
L = ShenZhen
O = lll
OU = lll Unit
CN = lll Root CA

[ext]
basicConstraints = critical,CA:TRUE
keyUsage = critical,keyCertSign,cRLSign
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer

这个配置文件定义了证书的DN(Distinguished Name)和一些关键的扩展,如basicConstraints、keyUsage等。

生成自签名根证书(10年有效期):

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem -config rootCA.conf -extensions ext

2. 生成服务器的证书

生成服务器私钥

openssl genpkey -algorithm RSA -out server.key -pkeyopt rsa_keygen_bits:2048

创建证书签名请求(CSR)
创建一个名为server.csr.conf的配置文件,以包含CSR的详细信息

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn
req_extensions = req_ext

[dn]
C = CN
ST = GuangDong
L = ShenZhen
O = lll
OU = lll Unit
CN = *.lll.com

[req_ext]
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.lll.com

生成CSR

openssl req -new -key server.key -out server.csr -config server.csr.conf

使用根证书签发服务器证书
创建一个新的配置文件(比如v3.ext)来定义签发的证书应该包含的扩展

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = *.leve.com

签发证书(IOS经测试最大支持825天有效期):

openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 825 -sha256 -extfile v3.ext

证书过期可使用此命令重新生成

xiegwei
关注
  • 11
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
私有ssl证书生成器,自动根据域名生成私有证书
05-24
linux下,私有ssl证书生成器,通过提示的方式,自动根据域名生成私有ssl证书,包括crt,key
Windows Server 2008 R2 下配置TLS1.2添加自签名证书的图文教程
09-30
以上知识点提供了关于Windows Server 2008 R2环境下配置TLS 1.2以及添加自签名证书的详细步骤和解释,这些内容对于满足现代网络安全标准和与iOS应用兼容性至关重要。同时,本文对于那些寻求减少IT成本但仍然需要保持...
搭建一个简单的https服务
my_miuye的博客
07-11 4290
  为了测试ab工具压测https接口,简单搭了一下https,记录一下过程。   环境准备 在docker中建了3个容器: A: 证书颁发(CA) B: 服务端 C: 客户端 docker run -d --name ca centos:centos7 /bin/bash docker run --privileged=true -d --name https-server -p 8000:80 -p 8443:443 centos:centos7 /usr/sbin/i
如何简单的生成SSL证书
最新发布
githubcurry
06-26 316
可是一般这个密码都会有副作用,这个副作用是每次 Apache启动Web服务器时,要求重新输入密码,因此这个很不方便。理想情况下,可以将证书发送给证书颁发机构(ssl证书申请​​),CA验证过请求者的身份之后,会出具签名证书(很贵)。如果有用户安装了这个证书的话,那么就说明了大家已经信任这个证书了,那么也会拥有了公钥,例如服务器认证,客户端认证,或者签署其他证书。申请ssl证书可以去。需要注意的是,在使用自签名的临时证书时,浏览器会提示证书的颁发机构是未知的。注意:一般生成私钥,需要至少一个 4位的密码。
HTTPS与自制SSL证书
u010148813的专栏
12-15 5201
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
自己生成ssl证书
zsx的博客
02-26 5772
一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。 需要手工生成证书的情况有: 找不到可用的证书 需要配置双向SSL,但缺少客户端证书 需要对证书作特别的定制 首先,无论是在Linux下还是在Windows下的Cygwin中,进行下面的操作前都须确认已安装OpenSSL软件包。 创建根证...
生成自签ssl证书
kali_yao的博客
10-18 9884
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
gmssl iOS静态库,支持arm64,支持bitcode
03-23
这个库的主要功能是实现国密(国家密码算法)加密、解密以及SSL通信,使得在iOS应用开发中能够安全地使用中国的加密标准。 1. **国密算法**: 国密算法主要包括SM2、SM3和SM4等。SM2是一种基于椭圆曲线密码学的...
iOS版编译完成的OpenSSL
06-22
iOS开发中,OpenSSL是一个重要的加密库,用于实现各种安全协议,如SSL/TLS以及加密算法,如RSA、DSA等。本资源提供的是针对iPhone 15.5.sdk版本编译完成的OpenSSL库,这使得开发者能够在iOS平台上集成OpenSSL的...
ios实机IJKMediaFramework支持https
04-11
iOS开发中,为了实现流媒体播放功能,开发者经常会选择使用第三方框架,IJKMediaFramework便是其中的一个热门选择。这个框架是由Bilibili开源的,主要用于视频播放,它集成了FFmpeg库,提供了对多种流媒体协议的...
ios苹果旧版app下载
04-05
iOS系统中,有时用户可能需要下载旧版的App,可能是为了兼容老旧设备,或者是因为新版本存在某些问题。在“ios苹果旧版app下载”这个主题中,涉及到的知识点主要包括以下几个方面: 1. **iOS App版本管理**:iOS ...
自定义生成ssl证书
ss810540895的博客
03-31 1001
选择自己电脑对应的版本然后下一步下一步安装完成即可。
生成SSL证书
weixin_44783506的博客
02-05 4361
SSL 是一种加密协议,用于在网络通信中提供数据的保密性和完整性。它使用公钥和私钥来建立安全的连接,并对传输的数据进行加密和解密,以防止未经授权的访问和篡改。根据文章操作,生成以下四个文件用于存储与 SSL 相关的密钥、证书和信任的根证书
Nginx/Tomcat/SpringBoot配置自生成SSL证书
拉你手跟我走的专栏
12-21 1678
Nginx/Tomcat/SpringBoot配置自生成SSL证书的两种方式
自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书
白强
03-26 431
 Nginx支持多域名ssl证书 导读: 昨天凌晨将公司旗下的另外一个域名也升级成通过ssl证书登录的形式,那里料到过程竟然非常曲折,原因是nginx如果编译的时候使用openssl如果没有添加enable-tl***t参数的话,就只支持一个ssl证书,因此要让nginx支持多域名证书就必须要重新编译openssl和nginx。   详细过程: 升级更改完nginx配置文件以后,使...
自签发SSL证书签发(附脚本)
jerry的博客
03-03 2993
自签发 SLL (https) 证书
简单自建SSL证书ios无法使用)
qq_43278717的博客
03-22 483
Common Name (eg, your name or your server’s hostname) []: 这里填写你的域名,也可以使用通配符:*.xxx.com,这样所有子域名都可以使用这个证书。subjectAltName 可以指定多个,如DNS.2 = app2.xxx.com。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiegwei

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值