基于 OpenSSL 自建 CA 和颁发 SSL 证书

最新推荐文章于 2024-04-27 16:46:06 发布
最新推荐文章于 2024-04-27 16:46:06 发布
阅读量4k 收藏 5
点赞数
分类专栏: 证书管理

基于 OpenSSL 自建 CA 和颁发 SSL 证书

原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5

自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS,证书的需求随之增加。那么对于我们开发者,通过自签名证书来进行测试必将非常的方便。so,有一个自己的 CA 是不是非常的库呢!下面我们一步步操作,创建我们自己的 CA。

由于 Mac 自带的 openssl 版本过低,请安装更高版本。

建立 CA

所有命令均在同一目录执行,没有进行跳转。

SH$ mkdir -p ./demoCA/{private,newcerts} && \
    touch ./demoCA/index.txt && \
    touch ./demoCA/serial && \
    echo 01 > ./demoCA/serial

通过以上命令,你将得到如下目录:

SH$ tree
.
└── demoCA
    ├── index.txt
    ├── newcerts
    ├── private
    └── serial
生成 CA 根密钥
$ openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 #可以去掉des,以后签证书不用输密码
生成 CA 证书请求
$ openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out careq.pem
自签发 CA 根证书
$ openssl ca -selfsign -in careq.pem -out ./demoCA/cacert.pem -extensions v3_ca
以上合二为一
$ openssl req -new -x509 -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem -extensions v3_ca

到这里,我们已经有了自己的 CA 了,下面我们开始为用户颁发证书。

为用户颁发证书

生成用户 RSA 密钥
$ openssl genrsa -des3 -out userkey.pem 2048 # 4096
生成用户证书请求
SH$ openssl req -new -days 365 -key userkey.pem -out userreq.pem # NO SAN

$ openssl req -new -days 365 -key userkey.pem -out userreq.pem -config openssl.cnf #SAN
使用 CA 签发证书
SH$ openssl ca -in userreq.pem -out usercert.pem # NO SAN

$ openssl ca -in userreq.pem -out usercert.pem -extensions v3_ca # 签发中级 ca

$ openssl ca -in userreq.pem -out usercert.pem -config openssl.cnf -extensions v3_req #SAN
其他证书操作
  • 查看证书的内容:$ openssl x509 -in cert.pem -text -noout
  • 吊销证书:$ openssl ca -revoke cert.pem -config openssl.cnf
  • 证书吊销列表:$ openssl ca -gencrl -out cacert.crl -config openssl.cnf
  • 查看列表内容:$ openssl crl -in cacert.crl -text -noout

openssl.cnf

上面步骤中,你可以观察到 SAN 与 NO SAN 标记。那么什么是 SAN,SAN(Subject Alternative Name)是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。所以,只执行 NO SAN 命令也可以签发证书,不过却不能够添加多个域名。

想要添加多个域名或泛域名,你需要使用到该扩展。那么默认的 OpenSSL 的配置是不能够满足的,我们需要复制或下载一份默认的 openssl.cnf 文件到本地。如 github openssl。这里我已经准备好一份 openssl.cnf

修改匹配策略

默认匹配策略是:国家名,省份,组织名必须相同(match)。我们改为可选(optional),这样避免我们生成证书请求文件时(csr)去参考 CA 证书。

OPENSSL# For the CA policy
[ policy_match ]
countryName         = match
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName      = optional
commonName          = supplied
emailAddress            = optional
修改默认值

这是可选项,修改默认值,可以让你更快的颁发证书,一直回车就可以了:

OPENSSL[ req_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = CN
countryName_min         = 2
countryName_max         = 2

stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Shanghai

localityName            = Locality Name (eg, city)
localityName_default        = Shanghai

0.organizationName      = Organization Name (eg, company)
0.organizationName_default      = deepzz

# we can do this but it is not needed normally :-)
#1.organizationName     = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName      = Organizational Unit Name (eg, section)
organizationalUnitName_default  = deepzz
关键步骤

最关键的地方是修改 v3_req。添加成如下:

OPENSSL[ v3_req ]

# Extensions to add to a certificate request

basicConstraints        = CA:FALSE
keyUsage            = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = @alt_names

[ alt_names ]
DNS.1 = abc.com
DNS.2 = *.abc.com
DNS.3 = xyz.com
IP.1 = 127.0.0.1

每次如果你要签发不同域名或 IP,可以直接修改 [ alt_names ]

注意之后的操作,均要指定 -config openssl.cnf

再来看看我们的目录结构:

SH$ tree
.
├── demoCA
│   ├── cacert.pem
│   ├── index.txt
│   ├── index.txt.attr
│   ├── index.txt.attr.old
│   ├── index.txt.old
│   ├── newcerts
│   │   └── 01.pem
│   ├── private
│   │   └── cakey.pem
│   ├── serial
│   └── serial.old
├── openssl.cnf
├── usercert.pem
├── userkey.pem
└── userreq.pem
环境变量

尽管很多文章都没有说到,但 openssl 确实是支持环境变量的。

openssl 通过 $ENV::name 获取环境变量,在配置文件里使用的时候只需将 name 替换为需要用到的环境变量的名称就可以了。

其实上面的步骤可以改成这样:

OPENSSL$ export SNAS=DNS:abc.com,DNS:*.abc.com,DNS:xyz.com,IP:127.0.0.1

# 修改 openssl.cnf
[ v3_req ]

# Extensions to add to a certificate request

basicConstraints        = CA:FALSE
keyUsage            = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = $ENV::SANS

# 注释掉这段配置
#[ alt_names ]
#DNS.1 = abc.com
#DNS.2 = *.abc.com
#DNS.3 = xyz.com
#IP.1 = 127.0.0.1

参考链接

[1] 使用openssl自建ca和生成证书

本文链接:https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html参与评论 »

--EOF--

发表于 2017-05-21 16:03:00,并被添加「opensslca」标签,最后修改于 2017-07-26 17:12:08

本站使用「署名 4.0 国际」创作共享协议,转载请注明作者及原网址。更多说明 »


ximenghappy
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于OpenSSL自建CA颁发SSL证书+nginx访问
ronon77的专栏
07-21 948
关于SSL/TLS介绍见文章 SSL/TLS原理详解。关于证书授权中心CA以及数字证书等概念,请移步 OpenSSLSSL 数字证书概念贴 。 openssl是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;三是openssl,是个多功能命...
使用OpenSSL自建CA颁发证书、吊销证书
miouqi的专栏
07-17 5342
一、实验说明       OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。        OpenSSL是一个开源程序的套件、这个套件有三个部分组成:一是libcryto,这是一个具有通用功能的加密库,里面实现了众多的加密库;二是libssl,这个是实现ssl机制的,它是用于实现TLS/SSL的功能;
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
AriaGIS
04-01 1万+
通过OpenSSL生成证书并让Chrome浏览器识别为安全终极办法
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 1439
自己签发CA证书签发服务器证书的场景非常简单。把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像CSDN这种,网站使用的证书就是由二级CA颁发证书
Consul 详细安装教程,以及配置持久化以及注册为服务详细教程
最新发布
qq_45774406的博客
04-27 1721
Consul 详细安装教程,以及配置持久化以及注册为服务详细教程
OpenSSL签发证书并实现浏览器的安全访问
xiaolong1155的博客
04-17 3173
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。
基于openssl工具完成自建CA以及为server,client颁发证书
tutu_hu的博客
06-03 2745
本文总结了openssl工具的常用命令,并基于openssl完成自建CA,并使用该自建CA给server和client颁发证书,进一步完成基于https协议的server和client的通信。
使用openssl配置https自签证书
m0_47584619的博客
04-05 438
使用openssl配置https自签证书
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
OpenSSL生成的ssl证书
01-11
注意,虽然自签发证书对于测试和内部使用是足够的,但对于生产环境,建议使用权威证书颁发机构(CA签发证书,以提供更高的信任度和浏览器兼容性。在实际操作中,还需要关注证书更新、过期监控以及安全最佳实践。
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
本文将详细介绍如何使用 OpenSSL 创建和管理CA证书、服务器证书和客户端证书,以实现SSL单向认证和双向认证。 首先,我们来看一下如何生成 CA证书颁发机构)证书CA证书是信任的根,用于签署其他证书,确保网络...
linux系统openssl 实现ssl自签证书
12-02
`create_ssl.sh`脚本通常包含一系列openssl命令,用于创建私钥(ca.key)和公钥(ca.crt)对,这构成了CA证书。执行`sh -x create_ssl.sh 0`会生成这些文件,存放在 `/etc/nginx/conf.d` 目录下。 接下来,使用这...
Nginx配置SSL自签名证书的方法
09-30
自签名证书则是由证书持有者自行签署,而不是由受信任的证书颁发机构(CA)签署的。这种证书在测试环境中非常实用,因为它无需购买且能快速配置。本文将详细介绍如何在Nginx服务器上配置SSL自签名证书。 首先,我们...
Windows 下OpenSSL安装过程及错误解决办法
热门推荐
发呆的程序猿
04-19 8万+
Windows下使用OpenSSL有两种方式: 一.直接下载别人编译好的安装包:http://slproweb.com/products/Win32OpenSSL.html 二.自己编译安装: 1.下载并安装perl http://www.activestate.com/activeperl/downloads/ 2.安装与配置: 直接运行安装文件(例如:Activ...
openssl给内网IP生成ca证书(ssl证书)
wd520521的博客
03-29 5813
openssl给内网IP生成ca证书(ssl证书)
基于openssl和国密算法生成CA、服务器和客户端证书
CHYabc123456hh的博客
07-20 2810
基于openssl和国密算法生成CA、服务器和客户端证书
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8630
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
基于openssl国密算法SM2搭建CA颁发证书
May的专栏
08-17 6347
基于openssl国密算法搭建CA颁发证书
使用openssl自制ssl证书
08-17
您可以按照以下步骤使用 OpenSSL 创建自签名 SSL 证书: 1. 安装 OpenSSL:首先,您需要安装 OpenSSL 工具包。您可以通过在终端中运行适用于您的操作系统的相应命令来安装它。 2. 生成私钥:使用以下命令生成一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值