CA证书自签详解

最新推荐文章于 2024-09-02 10:02:49 发布
最新推荐文章于 2024-09-02 10:02:49 发布
阅读量7.4k 收藏 12
点赞数 1
分类专栏: ssl 文章标签: openssl linux

本文记录linux环境和windows环境下CA证书的办法过程


一:linux环境下颁发CA证书


首先需要安装openssl。

首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书。

在CentOS6.3上安装Openssl的命令如下:
yum install openssl-devel
注意在安装的时候要安装“openssl-devel”,而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本:
[root@cddserver1~]# openssl version
OpenSSL1.0.1e-fips 11 Feb 2013


第一步

1,生成根证书的私钥
$ openssl genrsa -out /home/ca/ca.key

2 利用私钥生成一个根证书的申请,一般证书的申请格式都是csr。所以私钥和csr一般需要保存好

openssl req -new -key /home/ca/ca.key -out /home/ca/ca.csr

3 自签名的方式签发我们之前的申请的证书,生成的证书为ca.crt。

openssl x509 -req -days 3650 -in /home/ca/ca.csr -signkey /home/ca/ca.key -out /home/ca/ca.crt

为我们的证书建立第一个序列号,一般都是用4个字符,这个不影响之后的证书颁发等操作

echo FACE(01) > /home/ca/serial。

建立ca的证书库,不影响后面的操作,默认配置文件里也有存储的地方。

touch /home/ca/index.txt

6 建立证书回收列表保存失效的证书

openssl ca -gencrl -out /home/ca/ca.crl -crldays 7

---已上就完成了根证书的相关操作,下一步可以颁发证书了。

---生成和签发服务器身份验证证书,注意证书是自签名的,浏览器会提示不受信任

第二步

1,建立服务器验证证书的私钥

openssl genrsa -out /home/ca/server.key

2,生成证书申请文件,制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。

openssl req -new -key /home/ca/server.key -out /home/ca/server.csr

3, 利用根证书签发服务器身份验证证书

openssl ca -in /home/ca/server.csr -cert /home/ca/ca.crt -keyfile /home/ca/ca.key -out /home/ca/server.crt


第三步  签发客户端身份认证证书

1,生成私钥

openssl genrsa -des3 -out /home/ca/users/1/1.key 1024

2,生成证书请求文件

openssl req -new -key /home/ca/users/1/1.key -out /home/ca/users/1/1.csr

3,签发证书

openssl ca -in /home/ca/user/1/1.csr -cert /home/ca/ca.crt -keyfile /home/lengshan/ca.key -out /home/ca/user/1/1.crt

客户端证书完成,注意如果在web服务器上使用客户端证书,需要在web服务器上使用根证书对客户端进行验证,切记!


制作过程中遇到的异常以及解决方法::

1:unable to open '/etc/pki/CA/index.txt'

解决办法:touch /etc/pki/CA/index.txt


二:windows环境下签发CA证书

windows环境下使用jdk自带的keytool颁发证书

1:在cmd窗口使用如下命令

keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/tomcat

注:名字姓氏答案 填写 服务器的ip或者域名


2:导出证书

keytool -export -file d:/keys/tomcat.crt -alias wsria -keystore d:/keys/tomcat
 

加入最后一段话~ 谢谢大家
 

 

 

 
 
 

 
 
 

 
 
 

 
 
  

 


                

        

        

    

  


    

      

        

            

              
                
                  大大小白菜
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
自签名根证书、中间证书、服务器证书生成流程详解

				
			

			

				

					N阶二进制的博客
				

				

					12-01
					
					4927
					
				

			

		

		

			
				
在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。至此,你已经生成了一个由中间证书签署的服务器证书。至此,你已经生成了一个由根证书签署的中间证书。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。生成自签名的根证书(Root Certificate)的过程包括生成私钥、生成自签名的根证书。生成服务器证书的步骤与生成中间证书和根证书类似。

			
		

	



                

            
              



	

		

			

				
					
Rockey LinuxOpenSSL制作自签CA证书

				
			

			

				

					weixin_41687096的博客
				

				

					07-13
					
					178
					
				

			

		

		

			
				
Rockey LinuxOpenSSL制作自签CA证书应用

			
		

	



              


  
              

                


	

		

			

				
					
openssl自签ca证书,以及签发服务端/客户端证书

				
			

			

				

					bglmmz的专栏
				

				

					10-26
					
					2860
					
				

			

		

		

			
				
网上由很多,但是感觉操作比较复杂,有些签发的证书不可用。现在介绍简单方法。假设已经安装了openssl,已有sudo权限。已经建立路径:/ope/ca,所有操作都在此路径下进行。

1. 准备工作,由于我们签发的证书,不一定用于有域名的情况,而且服务端可能部署于任何Ip地址,所以,要准备一个证书的扩展配置,文件命为:server-ext.cnf,用echo命令直接生成此文件,命令行:


echo "subjectAltName=DNS:*.demo.com,IP:0.0.0.0" > server-

			
		

	





	

		

			

				
					
自签CA证书

				
			

			

				

					MeteoriteMan的博客
				

				

					05-05
					
					1202
					
				

			

		

		

			
				
iOS有一个访问地址就能下载的服务:(plist长啥样可以看看这里:企业包plist)
itms-services://?action=download-manifest&url="plist文件的地址"

这个服务的先决条件就是能够使用HTTPS访问的服务器.Mac下搭建HTTPS访问的apache服务器文章中搭建的虽然也是HTTPS服务器,但是直接使用会是下面的情况.

1.创建私钥
...

			
		

	



		

			
		



	

		

			

				
					
CA证书说明与使用

					
最新发布

				
			

			

				

					qq_54089476的博客
				

				

					09-02
					
					2351
					
				

			

		

		

			
				
对于私钥/公钥的文件后缀有时候用 key/crt,有时候用 pem,其实这不重要,重要的是文件中的内容格式。主要功能为:证书发放、证书更新、证书撤销和证书验证。生成CA证书之后可以直接部署在服务器上,也可以通过下面的步骤,用CA证书签署服务器公钥生成服务器证书,然后部署到服务器上。2、CA机构对请求文件进行身份确认,邮箱、第三方数据库、当面认证和身份确认等,根据身份认证等级来划分不同的认证方式。通过openssl生成证书,需要生成CA密钥对和CA证书,而第三方CA机构颁发只需要提供一个请求文件即可。

			
		

	





	

		

			

				
					
自建CA并生成自签名SSL证书

				
			

			

				

					AlbertS Home of Technology
				

				

					11-30
					
					8183
					
				

			

		

		

			
				
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...

			
		

	





	

		

			

				
					
PKI-3-CA证书、自颁发(self-issued)证书自签(self-signed)证书概念

				
			

			

				

					一分耕耘一分收获
				

				

					11-16
					
					2823
					
				

			

		

		

			
				
在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书自签(self-signed)证书CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任

CA证书:通常指的是颁发者和主体是不同的证书;



自颁发证书:是指证书的颁发者和主体是同一个CA证书。
.

			
		

	





	

		

			

				
					
证书类型、自签CA证书、https双向认证(一篇就懂系列)

				
			

			

				

					MX__LL的博客
				

				

					06-16
					
					7809
					
				

			

		

		

			
				
证书类型、自签CA证书、https双向认证(一篇就懂系列)

			
		

	





	

		

			

				
					
OpenSSL 自签证书详解

				
			

			

				

					云原生运维
				

				

					12-25
					
					7105
					
				

			

		

		

			
				
数字证书的基本概念
数字证书的标准

X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息
序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因
签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA
签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA
证书的有效

			
		

	





	

		

			

				
					
构建CA证书详解过程步骤

				
			

			

				

					ljc1999的博客
				

				

					01-21
					
					3856
					
				

			

		

		

			
				
目录一、CA中心申请证书的过程二、CA介绍三、构建私有CA1.环境:2.检查安装openSSL3.查看配置文件4.根证书服务器目录5.创建所需文件6.创建密钥7.生成自签证书8.下载安装证书四、客户端CA证书申请及签名1.检查安装openSSL2.客户端生成密钥3.客户端用私钥加密生成证书请求4.CA服务端签署证书5.CA服务端将证书发给请求服务端6.CA服务端调整7.测试
一、CA中心申请证书的过程
1、web服务器,生成一对非对称加密密钥(web公钥,web私钥)
2、web服务器使用 web私钥生成

			
		

	





	

		

			

				
					
自签邮件加密证书步骤详解

				
			

			

				

					
				

			

		

		

			
				
自签证书是一种不需要第三方证书颁发机构(CA)验证的证书,适用于个人或小型组织内部的邮件加密。下面我们将按照步骤来详细解释如何生成自签名邮件加密证书。  首先,我们需要生成一个密钥文件,这是证书的基础。...

			
		

	





	

		

			

				
					
openssl自签CA证书

				
			

			

				

					huangbaoling66的博客
				

				

					03-23
					
					1572
					
				

			

		

		

			
				
原博客链接
本文非原创,系浏览各博客后结合自身使用的一个总结,方便回顾。
前情提要
通俗理解SSL/TLS协议区别与原理
数字签名是什么
什么是x509证书链


x509证书一般会用到三类文件,key,csr,crt。
key是私用密钥,openssl格式,通常是rsa算法。
csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
crt是...

			
		

	





	

		

			

				
					
自己做CA自签证书生成

					
热门推荐

				
			

			

				

					cuitone的专栏
				

				

					02-27
					
					1万+
					
				

			

		

		

			
				
转载自:https://wangbin.io/blog/it/https-ca.html

自己做CA



最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。 

一. 简介

之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发...

			
		

	





	

		

			

				
					
自签CA认证

				
			

			

				

					qq_43157273的博客
				

				

					12-11
					
					750
					
				

			

		

		

			
				
自签CA认证
用openssl命令生成自己的根证书,让用户安装信任它,之后所有用这个根证书签名的证书,就可以被信任。
生成根证书

创建文件并配置环境mkdir /root/ca
cd /root/ca
mkdir certs crl newcerts private
chmod 700 private
touch index.txt
echo 1000 > serial
touch openssl.cnf


先创建/root/ca文件夹,所有CA的操作都会在这个文件夹执行。
/root/ca:C

			
		

	





	

		

			

				
					
自签数字证书

				
			

			

				

					weixin_34216036的博客
				

				

					03-07
					
					243
					
				

			

		

		

			
				
概念:

数字证书认证机构(英语:Certificate Authority,缩写为CA),也称为电子商务认证中心、电子商务认证授权机构或证书授权中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
CSR是Cerificate Signing Request的英文缩写,即证书请求文件,也就是证书申请者在申请数字证书时由CSP(加密服...

			
		

	





	

		

			

				
					
自签证书&私有CA签名证书

				
			

			

				

					weixin_45693432的博客
				

				

					03-06
					
					589
					
				

			

		

		

			
				
3. 创建自签证书(根据私钥和公钥生成自签证书)

			
		

	





	

		

			

				
					
openssl自签CA证书、服务端和客户端证书生成并模拟单向/双向证书验证

				
			

			

				

					赴前尘
				

				

					02-03
					
					1761
					
				

			

		

		

			
				
openssl自签CA证书、服务端和客户端证书生成并模拟单向/双向证书验证

			
		

	





	

		

			

				
					
Autosar之自签证书CA证书

				
			

			

				

					喜欢打篮球的普通人
				

				

					05-29
					
					1719
					
				

			

		

		

			
				
验证完整性主要依赖于消息摘要算法的特性,摘要算法的原理是根据一定的运算规则提取原始数据中的信息,被提取的信息就是原始数据的消息摘要,也称为数据指纹。对一份数据,进行一个单向的 Hash 函数,生成一个固定长度的 Hash 值,这个值就是这份数据的摘要著名的摘要算法有 MD5 算法和 SHA 系列算法。摘要算法具有以下特点:一致性: 相同数据多次计算的摘要是相同的,不同的数据(在不考虑碰撞时)的摘要是不同的;不可逆性: 只能正向提取原始数据的摘要,无法从摘要反推出原始数据;

			
		

	





	

		

			

				
					
OpenSSL 生成CA证书自签证书

				
			

			

				

					u010100623的博客
				

				

					07-18
					
					1073
					
				

			

		

		

			
				
openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。吊销证书需要使用默认的配置文件/etc/pki/tls/openssl.cnf,当然也可以复制一份openssl.cnf文件,自己改一下配置也可。这里使用默认的配置文件/etc/pki/tls/openssl.cnf。因后面生成证书时使用到了openssl配置文件/etc/pki/tls/openssl.cnf,所以要提前创建,如果不使用。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 2

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值