Openssl生成CA证书及服务器签名证书

最新推荐文章于 2022-08-17 17:20:46 发布
最新推荐文章于 2022-08-17 17:20:46 发布
阅读量2.6k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xyyaiguozhe/article/details/17304657
版权

环境:

CentOS linux2.6.18-164.el5

CentOS linux2.6.18-164.el5openssl version
OpenSSL 1.0.0d 8 Feb 2011

1. 给CA生成一个私匙

[root@localhost SSL]# openssl genrsa 2046 > ./cakey.pem
Generating RSA private key, 2046 bit long modulus
...............+++
..................................................................+++
e is 65537 (0x10001)
[root@localhost SSL]# ls
cakey.pem
2.用CA生成一个自签名证书 

[root@localhost SSL]# openssl req -new -x509 -key ./cakey.pem -out cacert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:HUBEI
Locality Name (eg, city) []:XIANGFAN
Organization Name (eg, company) [Internet Widgits Pty Ltd]:AD
Organizational Unit Name (eg, section) []:AD
Common Name (eg, YOUR name) []:*.xxx.com
Email Address []:xxx@123.com
[root@localhost SSL]# ls
cacert.pem  cakey.pem
[root@localhost SSL]#
3,将PEM格式的CA证书转换成DER格式的,导入到IE浏览器里面 

[root@localhost SSL]# openssl x509 -in cacert.pem -inform PEM -outform DER -out cacert.der
[root@localhost SSL]# ls
cacert.der  cacert.pem  cakey.pem

4.可以看下 vim /etc/pki/tls/openssl.cnf  里面的配置,主要关注下 [ CA_default ]段里面的内容  。

5.创建个server目录,生成一个服务器私钥

[root@localhost SSL]# mkdir server
[root@localhost SSL]# ls
cacert.der  cacert.pem  cakey.pem  server
[root@localhost SSL]# cd server/
[root@localhost server]# openssl genrsa 2048 > ./server.key
Generating RSA private key, 2048 bit long modulus
.......................................+++
.............+++
e is 65537 (0x10001)
[root@localhost server]# ls
server.key
6.创建一个服务器证书请求 
[root@localhost server]# openssl req -new -key server.key -out server.csr
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:HUBEI    
Locality Name (eg, city) []:XIANGFAN
Organization Name (eg, company) [Internet Widgits Pty Ltd]:AD
Organizational Unit Name (eg, section) []:AD
Common Name (eg, YOUR name) []:www.xxx.com
Email Address []:xxx@123.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:123456
[root@localhost server]# ls
server.csr  server.key

7.利用证书请求生成一个crt证书

[root@localhost server]# openssl ca -in server.csr -out server.crt
Using configuration from /usr/local/openssl/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 4 (0x4)
        Validity
            Not Before: Dec 13 09:46:31 2013 GMT
            Not After : Dec 13 09:46:31 2014 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = HUBEI
            organizationName          = AD
            organizationalUnitName    = AD
            commonName                = www.xxx.com
            emailAddress              = xxx@123.com
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                8E:01:29:FF:D5:86:97:B4:CA:C3:B9:F9:BF:27:1C:C2:B6:7C:42:51
            X509v3 Authority Key Identifier: 
                keyid:2A:A8:D2:2C:3D:45:05:92:9B:93:0A:F9:AA:F7:9F:B6:E1:C9:5B:53

Certificate is to be certified until Dec 13 09:46:31 2014 GMT (365 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@localhost server]# ls
server.crt  server.csr  server.key  
[root@localhost server]#
如果以前CA用过,报了类似下面错误: 

[root@localhost server]# openssl ca -in server.csr -out server.crt
Using configuration from /usr/local/openssl/ssl/openssl.cnf
Check that the request matches the signature
Signature ok
The organizationName field needed to be the same in the
CA certificate (AAA) and the request (AD)
报错是因为在openssl.cfg中的policy_match里面的前三个都选了match,相应修改成
stateOrProvinceName = optional
organizationName = optional
就可以了。

7.服务器用上server.crt证书,在客户端IE浏览器导入上面生成cacert.der,

再在windows的C:\Windows\System32\drivers\etc\hosts文件里面加上

4.4.4.4  www.xxx.com

4.4.4.4是以前https://4.4.4.4/index.html访问的IP,在浏览器中访问https://www.xxx.com之后,就再也不会报出证书不受信任了。


/*生成一个crl*/
[root@localhost SSL]# mkdir crl
[root@localhost SSL]# cd crl
/*证书撤销*/
[root@localhost crl]# openssl ca -keyfile ../cakey.pem -cert ../cacert.pem -revoke ../server/server.crt 
Using configuration from /usr/local/openssl/ssl/openssl.cnf
Revoking Certificate 04.
Data Base Updated

/*数据库已更新,证书被标记上撤销的标志,需要生成新的证书撤销列表*/
[root@localhost crl]# openssl ca -gencrl -keyfile ../cakey.pem -cert ../cacert.pem -out ./crl.crl
Using configuration from /usr/local/openssl/ssl/openssl.cnf
/etc/pki/CA/crlnumber: No such file or directory
error while loading CRL number
6555276:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('/etc/pki/CA/crlnumber','r')
6555276:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
/*缺少个文件,随便生成一个*/
[root@localhost crl]# echo 12 > /etc/pki/CA/crlnumber
/*再来一次*/
[root@localhost crl]# openssl ca -gencrl -keyfile ../cakey.pem -cert ../cacert.pem -out ./crl.crl
Using configuration from /usr/local/openssl/ssl/openssl.cnf
[root@localhost crl]# ls
crl.crl

/*查看crl内容*/
[root@localhost crl]# openssl crl -noout -text -in crl.crl 
Certificate Revocation List (CRL):
        Version 2 (0x1)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: /C=CN/ST=HUBEI/L=XIANGFAN/O=AD/OU=AD/CN=*.xxx.com/emailAddress=xxx@123.com
        Last Update: Dec 16 08:27:02 2013 GMT
        Next Update: Jan 15 08:27:02 2014 GMT
        CRL extensions:
            X509v3 CRL Number: 
                18
Revoked Certificates:
    Serial Number: 04
        Revocation Date: Dec 16 08:22:12 2013 GMT
    Signature Algorithm: sha1WithRSAEncryption
	。。。
	。。。




xyyaiguozhe
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux-运维进阶-31 OpenSSL实现CA证书
weixin_42560249的博客
03-26 855
linux-运维进阶-31 OpenSSL实现CA证书 OpenSSL实现CA证书 什么是CA CA,Catificate Authority,通俗的理解就是一种认证机制。它的作用就是提供证书(也就是服务端证书,由域名,公司信息,序列号,签名信息等等组成)来加强客户端与服务器端访问信息的安全性,同时提供证书的发放等相关工作。国内的大部分互联网公司都在国际CA机构申请了CA证书,并且在用户进行访问的...
使用 openssl 命令行构建 CA \b及证书(一)
weixin_33946020的博客
10-31 98
使用 openssl 命令行构建CA \b及证书这是一篇快速指南,使用 OpenSSL生成 CA证书授权中心certificate authority)、中级 CAintermediate CA和末端证书end certificate。包括 OCSP、CRL 和 CA颁发者Issuer信息、具体颁发和失效日期。我们将设置我们自己的根 CAroot CA,然后使用根 ...
基于 OpenSSLCA 建立及证书签发
minsj
01-04 108
参考:http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/ ,并有部分修改 建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于 /usr/ssl/openssl.cnf 内,详情可参见 config (...
基于OpensslCA建立 证书签发
weixin_34402090的博客
03-20 101
建立 CA 建立 CA 目录结构 按照 OpenSSL 的默认配置建立 CA ,需要在文件系统中建立相应的目录结构。相关的配置内容一般位于 /usr/ssl/openssl.cnf 内,详情可参见 config (1) 。在终端中使用如下命令建立目录结构: $ mkdir -p ./demoCA/{private,newcerts} $ touch ...
10.openssl证书CA功能概述
艾小小雨的博客
02-02 1451
10.1 证书CA功能概述10.1.1 证书存在价值数字证书正是为了建立实体跟密钥对之间的联系而存在,证书验证中心CA充当了确认特定实体跟密钥对之间关系的确认人,并且通过用自己的私钥对这些确认信息和公钥一起签名来保证其可信性和不可改变性。10.1.2 证书生命周期a.证书申请:所谓证书生命周期是指从证书申请到证书被吊销的整个过程,这中间涉及证书申请、颁发、使用管理方面的问题。b.证书颁...
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
最新发布
01-16
生成CA私钥的命令是 `openssl genrsa`,这个命令可以生成RSA类型的私钥。例如,以下命令将生成一个2048位的RSA私钥,保存到`ca.key`文件中: ```shell openssl genrsa -out ca.key 2048 ``` 为了增加安全性,你...
OpenSSL生成的ssl证书
01-11
**OpenSSL生成的ssl证书** 在互联网安全领域,SSL(Secure Socket Layer)证书是保障网站数据传输安全的重要工具。OpenSSL是一个开源的库,包含了各种加密算法,它提供了生成SSL证书的功能。本教程将详细介绍如何...
OpenSSL 一键生成证书
08-10
在IT行业中,理解和使用OpenSSL生成证书是至关重要的,特别是对于网络服务器配置和安全通信。 "OpenSSL 一键生成证书"项目是针对OpenSSL进行的二次开发,旨在简化证书创建过程。通常,生成SSL/TLS证书需要一系列...
OpenSSL创建生成CA证书服务器、客户端证书及密钥
05-19
本文将详细介绍如何使用OpenSSL来创建生成CA(Certificate Authority)证书服务器证书和客户端证书以及它们对应的密钥。 首先,我们需要理解证书的基本概念。在SSL/TLS协议中,证书用于验证通信双方的身份,通常...
利用openssl生成CA证书的方法及证书
12-26
本文将详细阐述如何利用OpenSSL生成CA证书以及相关的证书文件。 首先,我们需要理解证书的用途。在互联网通信中,证书用于验证服务器或客户端的身份,确保数据在传输过程中不被篡改。它们由证书签名请求(CSR)生成...
openssl证书相关函数
06-25
opensssl相关函数的应该,包括生成证书,签发证书
CA证书cacert.pem,cacert.pem,cacert.pem
03-24
CA证书:解决php curl: (60) SSL certificate problem: unable to get local issuer certificate等问题
使用openssl自建CA
Reverberation的博客
04-17 356
openssl 命令格式: openssl command [ command_opts ] [ command_args ] 子命令分为三类: 1、Standard commands 标准命令:包含genrsa、ca、req、x509之类用于自签证书的命令和passwd、rand等其他常用命令 2、Message Digest commands 单向加密命令:dgst 支持md2...
SSL基础:23:生成Kubernetes集群证书(OpenSSL方式)
知行合一 止于至善
12-15 1883
使用OpenSSL提供的命令则可非常容易地生成kubernetes集群创建所需要的证书,参照官方给的示例方法,再结合前面的文章对于OpenSSL的使用介绍,会发现openssl使用起来还是非常方便和简单的。
openssl生成SSL证书的流程
热门推荐
moonhillcity的博客
10-09 2万+
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,
HTTPS认证二: openssl生成证书签名
egbert123的博客
01-04 589
CA证书 创建 CA证书(使用这个根证书签发服务器和客户端的证书) mkdir private # 生成私钥 key 文件: openssl genrsa -out private/ca.key 2048 输出 Generating RSA private key, 2048 bit long modulus .......+++ ...........................
[教程]openssl证书生成、签发,CRL,密钥转换等命令最简教程(可直接跳到后文)
qq_29820307的博客
06-22 3283
生成证书 注意:此处指令请在openssl中运行,命令行操作请在openssl目录下Bin目录内运行命令行,并且请在每条指令前加上“openssl”。例如:openssl genrsa -aes256 -out “rootca.key” 2048 #生成密钥,2048是密钥长度(Bit),-aes256是生成aes256标准的密...
OpenSSL RSA Key的生成和转换
phubing
05-28 2024
最近做一些芯片高级安全文件签名的反向验证工作,较多都是进行密钥转换、签名验证和加解密相关的操作,在这里顺带把其中的一些RSA格式转换操作总结一下。 1. RSA Key的生成 生成2048 bit的私钥 ...
基于openssl国密算法SM2搭建CA及颁发证书
May的专栏
08-17 6399
基于openssl国密算法搭建CA及颁发证书
openssl生成ca并配置证书在浏览器
05-12
生成CA证书: 1. 首先生成一个私有密钥: ``` openssl genrsa -out ca.key 2048 ``` 2. 生成签名CA证书: ``` openssl req -new -x509 -days 3650 -key ca.key -out ca.crt ``` 在这个过程中,你...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值