ssl证书的生成与签名

最新推荐文章于 2024-04-18 09:22:29 发布
最新推荐文章于 2024-04-18 09:22:29 发布
阅读量3.8k 收藏
点赞数
分类专栏: ssl

一些概念

KEY : 私钥文件,决定ssl安全的基础
CSR : 证书请求文件,包含公钥和证书信息
CA : 中级证书颁发机构,一般是可信的第三方,CA证书会验证公钥是否被认证
root CA:通过它的私钥对中级机构提交的CSR进行了签名

申请ssl证书需要用到openssl,linux系统中默认会安装,手动安装openssl:

yum install -y openssl openssl-devel

一.生成私钥

私钥是SSL安全性的基础,使用RSA算法生成,只有证书申请者持有,即使CA也没有对私钥的访问权限,应妥善保管。私钥长度决定其安全性,2009年768位RSA已被破解,1024位RSA短期内是安全的,但随着计算机越来越快,已不足以抵御攻击,为了安全起见应尽量使用2048位RSA,生成2048位私钥:

openssl genrsa -out 52os.net.key 2048

如果对安全性要求较高,可以用密码加密密钥文件,每次读取密钥都需输入密码:

openssl genrsa -des3 -out 52os.net.key 2048

二.生成CSR

证书签名请求文件(CSR)中包含了公钥和证书的详细信息,将CSR发送给CA认证后就会得到数字证书或证书链,生成CSR文件:

openssl req -new -sha256 -key 52os.net.key -out 52os.net.csr

按照提示输入:国家、省份、城市、组织名、部门、公共名称、邮件地址等,最后的extra信息不要填写,个人用户也可以使用默认或留空,只需注意‘Common Name’是要使用ssl证书的域名,根据实际情况,可以写单域名,多个域名,或使用‘*’通配域名
验证CSR文件信息:

openssl req -noout -text -in  52os.net.csr

确认信息正确就可以提交给ca进行认证,CA会根据你的CSR文件进行签名,之后颁发数字证书,该数字证书和私钥就可以部署到服务器了;通常ca认证需付费,普通ssl证书不贵,也有一些提供免费的证书的ca,如startssl、Let's Encrypt等

三.自签名

在某些情况下,如内网https的应用,不需要付费使用第三方签名,此时就可以使用自签名证书。自签名分两种:

  1. 使用自己的私钥签发自己的csr生成证书,也可以直接生成私钥和证书
  2. 生成ca,使用ca签发

生成ca的好处是:客户只要手动信任该ca一次,即可信任该ca签发的所有证书,不需要为每个证书添加信任

3.1 使用自签名

使用上面生成的私钥签发证书:

openssl x509 -req -days 365 -in 52os.net.csr -extensions v3_ca -signkey  52os.net.key  -out 52os.net365.crt

或者直接生成私钥和证书:

openssl  req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout 52os.net.key -out 52os.net.crt

可以使用chrome浏览器导出证书并安装到windows信任证书中,安装后浏览器地址栏的https就会变成绿色。导出方法:访问https网站,点击地址栏上有红色叉的锁型图标,点击详细信息,点击查看证书,在弹出的证书窗口中点击详细信息选项卡,点击复制到文件,之后按证书导出向导的提示即可导出

3.2 使用ca签名

生成 CA:

openssl genrsa -out CA.key 2048
openssl req -new -x509 -key CA.key -out CA.cer -days 36500 -subj /CN='52os CA'

使用ca签发证书:

openssl x509 -req -in 52os.net.csr -extensions v3_usr -CA CA.cer  -CAkey CA.key  -CAcreateserial -out 52os.net.crt

为了更好的兼容浏览器,还需:

cat CA.cer >> 52os.net.crt

客户端手动信任CA.cer即可,windows下可以双击安装

参考文章:
http://www.51ean.com/interaction/safety_information_details.html?postId=585
http://blog.csdn.net/tenfyguo/article/details/40922813
http://www.wosign.com/Basic/index.htm
http://www.cnblogs.com/kyrios/p/tls-and-certificates.html

xp5xp6
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【漏洞复现】CVE-2004-2761 使用弱哈希算法签名SSL 证书(SSL Certificate Signed Using Weak Hashing Algorithm)
m0_60607971的博客
04-06 2142
AIGC大模型、C C#、Go语言、Java、Linux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
本地ssl证书生成工具
03-19
- 自签发证书:使用`openssl x509`命令,使用之前生成的私钥对证书请求进行签名生成签名SSL证书。 - 安装证书:将生成证书安装到本地的信任存储或服务器上。 4. 测试环境的应用: 在本地开发和测试环境...
本地生成SSL证书工具CreateCertGUICreateCertGUI
03-14
功能:有时候我们在本地调试网站,需要本地的SSL证书。这个工具就是为生成SSL证书工具CreateCertGUICreateCertGUI而生。 备注:可以不限量免费生成生成SSL证书
ssl证书生成工具解决弱哈希算法签名SSL证书(CVE-2004-2761)
01-04
弱哈希算法签名SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字签名证书,从而允许攻击者伪装成受影响的服务。
【漏洞复现】CVE-2004-2761:使用弱哈希算法签名SSL 证书(SSL Certificate Signed Using Weak Hashing Algorithm)
qq_43455906的博客
08-07 1万+
本次复现是针对编号为CVE-2004-2761的漏洞,由于条件有限,本次复现通过创建自签名证书进行操作。解决证书链中的 SSL 证书使用弱哈希算法进行签名的问题。
SSL Certificate Signed Using Weak Hashing Algorithm(CVE-2004-2761
热门推荐
weixin_40133285的博客
04-26 3万+
SSL Certificate Signed Using Weak Hashing Algorithm(CVE-2004-2761) Windows Server 2012 R2 验证存在、搜索或下载证书工具、生成证书、导入证书、添加证书访问权限、在RDP-tcp中加载证书、验证证书生效情况、遗留问题 Trusted、SSL Self-Signed Certificate可申请官方机构颁布证书 The remote service uses an SSL certificate chain that has
ssl证书生成图形化工具.zip
02-07
本文将详细介绍“ssl证书生成图形化工具.zip”中的关键知识点,包括SSL证书、XCA工具、证书生成流程以及HTTPS协议。 SSL(Secure Socket Layer)证书是数字证书的一种,它通过公钥和私钥对网络通信进行加密,为用户...
ssl证书批量生成工具
03-19
在使用“ssl证书生成工具”时,要注意以下几点: - **安全性**:确保工具是来自可信赖的源,避免使用可能包含恶意代码的工具。 - **合规性**:遵循CA/B论坛的指导原则,确保证书的签发和使用符合行业标准。 - **...
OpenSSL生成ssl证书
01-11
SSL证书通过加密通信,确保了用户与服务器之间的数据传输不被第三方窃取或篡改。它包含公钥和私钥对,其中公钥用于加密数据,私钥用于解密数据,确保只有服务器能读取接收到的信息。 **OpenSSL创建证书** 1. **...
window下关于漏洞CVE-2004-2761ssl证书制作工具
11-14
window下ssl证书制作生成工具,用于弱哈希算法签名SSL证书升级成sha256算法签名证书,关于漏洞CVE-2004-2761
服务器检查检测修复漏洞工具
02-15
服务器安全工具 v0.8 1.目前该工具只作为辅助查找,站长可自行添加正则表达式。 2.服务器后门检测采用白名单特征检查方式,可检查出所有替换型后门变种。 3.网站后门辅查支持自定义白名单,可以在网站初建时或本地原始备份进行白名单制作,可减少扫描结果便于判断。 4.服务器综合管理,支持远程终端端口修改及开启,可卸载及管理危险组件。 5.开关机时间检查,可发现非正常关机事件 6.映像劫持管理,可查看、添加、删除现有映像劫持列表 7.数字签名验证可用于文件校验发现未签名的非系统文件 8.下载地址转换方便用户下载其他下载软件的专用链(支持迅雷/快车/旋风) 9.系统登陆时间检查功能可方便用户检查非工作时间段的非法登陆
Windows 更新清理工具
01-28
大家都知道,Windows 随着使用时间越久,系统就会越臃肿,各种临时文件、日志、备份文件等等越积越多,常常会导致C盘空间紧张或者出现运行各种缓慢,这时就有必要清理一下硬盘了。 其实,在系统垃圾中最占硬盘空间的往往就是执行 Windows Update 系统更新升级后遗留下的“更新备份”文件,这些老旧的残留文件对我们来说几乎毫无作用,但动辄几百MB的体积让很多本来空间就不多的硬盘更加紧张。今天的免费工具 Windows 8/7 更新清理工具正是为此而来…… Windows 8 更新清理工具: Windows 更新清理工具支持 Windows 8 和 Win7,并且它能支持32与64位的系统(不支持XP)。它可以安全地帮你移除由微软的 Windows Update 系统更新时残留下来的大量已经淘汰的更新文件、更新备份文件、系统更新的安装文件、系统日志、临时文件等等。此外,它还能帮你移除 Office 的安装备份文件、nVidia显卡驱动的安装备份文件和多语言文件、Windows Instarller 的临时解压目录等一系列不必一直保留的文件。
使用X.509数字证书加密解密
03-28
使用X.509数字证书加密解密,使用RSA证书加密敏感数据
ssl证书生成工具(sha256算法)
12-28
弱哈希算法签名SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字签名证书,从而允许攻击者伪装成受影响的服务。 注意,这个插件报告所有使用SHA-1签署的SSL证书链在2017年1月1日之后失效都是脆弱的。这与谷歌的SHA-1加密哈希算法的逐渐衰落相一致。 该工具主要用于弱哈希算法签名SSL证书升级成sha256算法签名证书
Ietf X.509证书MD5签名冲突漏洞(CVE-2004-2761)[原理扫描]--漏洞修复
最新发布
饭饭饭饭的博客
04-18 2825
Ietf X.509证书MD5签名冲突漏洞(CVE-2004-2761)[原理扫描]--漏洞修复
windows的远程桌面服务RDS存在弱加密证书的漏洞处理
查士丁尼绵_的博客
11-16 2160
漏洞扫描检测windows服务器的远程桌面服务使用了弱加密的ssl证书
windows生成ssl签名证书
05-26
在 Windows 上生成签名 SSL 证书可以使用以下步骤: 1. 打开 PowerShell 窗口并输入以下命令来安装 OpenSSL: ``` Invoke-WebRequest -Uri https://www.openssl.org/source/latest/openssl-1.1.1k.tar.gz -OutFile openssl.tar.gz Expand-Archive .\openssl.tar.gz -DestinationPath openssl ``` 2. 进入 OpenSSL 目录并创建一个新的私钥和自签名证书: ``` cd openssl\openssl-1.1.1k .\openssl.exe req -x509 -days 365 -newkey rsa:2048 -keyout mykey.key -out mycert.crt ``` 按照提示输入有关证书的信息。 3. 将生成的私钥和证书复制到需要使用它的计算机上。 现在可以使用这个自签名证书来配置 Web 服务器或其他应用程序,以便启用 SSL/TLS 加密连接。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值