自做CA自签发SSL证书

最新推荐文章于 2024-03-02 09:21:57 发布
最新推荐文章于 2024-03-02 09:21:57 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: https

一、把证书准备好。
步骤与使用OpenSSL自签发服务器https证书所述大同小异。在这里再重复一次。
1、制作CA证书:
ca.key CA私钥:

1
2
openssl genrsa -des3 -out ca.key 2048
Enter pass phrase  for  ca.key:*****          要求创建密码

制作解密后的CA私钥(一般无此必要):

1
openssl rsa - in  ca.key -out ca_decrypted.key

ca.crt CA根证书(公钥):

1
openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

2、制作生成网站的证书并用CA签名认证
在这里,假设网站域名为blog.creke.net
生成tdp.up.com证书私钥:

1
2
openssl genrsa -des3 -out tdp.up.com.pem 1024
Enter pass phrase  for  tdp.up.com.pem:*****    要求创建密码

制作解密后的blog.creke.net证书私钥:

 openssl rsa -in tdp.up.com.pem -out tdp.up.com.key

 

生成签名请求:

openssl req -new -key tdp.up.com.pem -out tdp.up.com.csr

在common name中填入网站域名,如:tdp.up.com,即可生成改站点的证书,同时也可以使用泛域名如*.up.com来生成所有二级域名可用的网站证书。

用CA进行签名:

openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in tdp.up.com.csr -out tdp.up.com.crt

其中,policy参数允许签名的CA和网站证书可以有不同的国家、地名等信息,days参数则是签名时限。

 

如果在执行签名命令时,出现“I am unable to access the ../../CA/newcerts directory”
修改/etc/pki/tls/openssl.cnf中“dir = ./CA”

然后:

mkdir -p CA/newcerts
touch CA/index.txt
touch CA/serial
echo "01" > CA/serial

再重新执行签名命令。
最后把ca.crt的内容粘贴到tdp.up.com.crt后面。这个比较重要!因为不这样做,可能会有某些浏览器不支持。
好了,现在https需要到的网站私钥tdp.up.com.key和网站证书tdp.up.com.crt都准备完毕。接下来开始配置服务端。

二、以nginx为例
新开一个虚拟主机,并在server{}段中设置:

复制代码 
listen 443;
ssl on;
ssl_certificate /path/to/tdp.up.com.crt;
ssl_certificate_key /path/to/tdp.up.com.key;
ssl_session_timeout 5m;
ssl_protocols SSLv3 TLSv1  TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
ssl_prefer_server_ciphers on;
复制代码

其中的路径是刚刚生成的网站证书的路径。
然后使用一下命令检测配置和重新加载nginx:
检测配置:
nginx -t
重新加载:
nginx -s reload

zclovepp
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
如何利用linux自带的openssl工具生成自签名证书
xlfc12138的博客
06-10 1067
需求:通过自签名的CA证书,模拟CA机构签发服务端证书和客户端证书,为设备提供双向认证功能。 通过证书签发过程,更好的理解证书认证的相关知识
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
`intermediate-ca.cnf`则代表中间CA,它是由根CA签发的,用于日常的证书签发工作,这样可以将根CA的风险降到最低。 `index.cnf`文件通常用于存储证书序列号和索引信息,这是管理证书签发过程的关键。当签发新的证书...
自己作为CA签署SSL证书
uiop_uiop_uiop的博客
02-11 2221
为了解决ssl证书签名存在的问题。例如:申请免费ssl证书的时候没有办法再添加dns解析条目,vps没有进行域名备案,使得无法完成正规的ssl证书颁发。SSL自签名并不靠谱,很多浏览器也可能会不认可自签名证书。为了直接根除此问题,我们直接自己作为CA,利用自签名CA证书签发需要的SSL证书。期间踩了不少坑,最终终于完成。 ssl.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name r..
签发SSL证书
merry_tea的博客
12-08 7477
SSL证书 当网站需要启用HTTPS的时候,你就需要SSL证书了。 一个证书中包含了公钥、持有者信息、证明证书内容有效的签名以及证书有效期,和其他额外信息。 证书分为根证书(root Certificates),中间证书(intermediates Certificates),终端用户证书(end-user Certificates)。 根证书 -> 中间证书 -> 终...
签发ssl证书
14舍224
06-16 216
  # make directories to work from mkdir -p certs/{server,client,ca,tmp}   # Create your very own Root Certificate Authority openssl genrsa \   -out certs/ca/my-root-ca.key.pem \   2048   # S...
SSL自签名证书
全栈攻城狮JSON的博客
11-25 7080
一、概念 1.1、TLS 传输层安全协议 Transport Layer Security 作为SSL协议的继承者,成为下一代网络安全性和数据完整性安全协议 1.2、SSL 安全套接字层 Secure Socket Layer 位于TCP/IP中的网络传输层,作为网络通讯提供安全以及数据完整性的一种安全协议 1.3、HTTPS HTTP+SSL(secure socket layer)/TLS(Transport Layer Security)协议,HTTPS协议为数字证书提供了最佳的应用环境 1.4、Op
Nginx配置SSL自签名证书的方法
09-30
4. **自签发证书**:使用`openssl x509`命令,结合之前生成的CSR和私钥,自签发一个有效期为365天的证书,`openssl x509 -req -days 365 -in domain.csr -signkey domain.key -out domain.crt`。 接下来,我们需要...
ssl证书安装制作工具window版
07-01
签发证书是未经过权威CA签发,而是由证书持有者自己签名的证书。在使用XCA创建自签发证书时,你需要先配置一个本地证书颁发机构(CA),然后创建并签署证书请求。这个过程包括生成公私钥对,其中私钥由证书持有者...
mkcert证书创建自签名工具SSL证书CA证书颁发
05-05
可省去choco下载安装的步骤,直接使用mkcert创建和签名证书,通过mkcert -install命令创建ca证书,傻瓜式零配置签发证书
本地ssl证书生成工具
03-19
- 自签发证书:使用`openssl x509`命令,使用之前生成的私钥对证书请求进行签名,生成自签名的SSL证书。 - 安装证书:将生成的证书安装到本地的信任存储或服务器上。 4. 测试环境的应用: 在本地开发和测试环境...
自签名SSL证书
wwl15840210640的博客
04-01 367
证书签发流程 创建root-CA私钥 openssl genrsa -out root-ca.key 2048 自签CA证书 openssl req -x509 -new -nodes -key root-ca.key -subj "/CN=wwl-ca.com" -days 9999 -out root-ca.crt 创建服务端私钥 openssl genrsa -out server.key 2048 生成服务端签名请求 openssl req -new -out server.c
linux系统自签发免费ssl证书,为nginx生成自签名ssl证书
weixin_33971205的博客
02-15 2675
安装nginx可参考:nginx重新编译支持ssl可参考:接下来手动配置ssl证书:自己手动颁发证书的话,那么https是不被浏览器认可的,就是https上面会有一个大红叉下面是手动颁发证书的操作 切换到nginx配置文件 # cd /usr/local/nginx/conf 创建配置证书目录 # mkdir ssl # cd ssl 1.生成私钥 openssl genrsa -des3 -ou...
openssl签发https证书
zheshijieyouwo的博客
01-11 2012
生成CA私钥与CA证书 1. openssl genrsa -out cakey.pem 2048 2. openssl req -new -x509 -sha256 -key cakey.pem -out cacert.pem 生成服务端私钥与证书 3. openssl genrsa -out server.key 2048 4. openssl req -new -sha256 -ke
OpenSSL签发证书并实现浏览器的安全访问
最新发布
Innocence_0的博客
03-02 1219
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。!
Nginx中实现自签名SSL证书生成与配置
Katie_ff的博客
09-07 4635
本文 主要是Nginx 就可以使用自签名 SSL 证书来启用 HTTPS,实现加密和安全的通信。需要注意的是,自签名 SSL 证书不会受到公信任的证书颁发机构(Certificate Authority)认可,因此浏览器会显示安全警告。在生产环境中,建议使用由受信任的证书颁发机构签发证书来获得更高的安全性和可信度。
创建CA自签证书及发证
weixin_34332905的博客
07-24 93
创建所需要的文件。cd /etc/pki/CA目录中,在此目录中 touch index.txt文件echo 01 > serialCA自签证书(umask 077;openssl genrsa -out private/cakey.pem 2048)这一步是建立私钥,openssl req -new -x509 -key private/cakey.pem -days...
本地测试使用自签名证书以开启网站https(例子说明:Nginx、Tomcat)
MysticalDream的博客
05-16 9435
数字证书是由证书颁发机构(CA)签名并颁发的电子文件,用于建立网络连接的身份认证和加密通信。SSL 证书是数字证书的一种。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值