生成CA免费证书-整理

最新推荐文章于 2024-03-02 03:05:44 发布
最新推荐文章于 2024-03-02 03:05:44 发布
阅读量858 收藏 2
点赞数 1
原文链接:https://blog.csdn.net/weixin_30544657/article/details/97775898
版权

转自:https://blog.csdn.net/weixin_30544657/article/details/97775898

1.环境:

  • OpenSSL 1.0.2k
  • FireFox 60.0 64位
  • Chrome 66.0.3359.181 (正式版本)(32位)
  • Internet Explorer 11.2248.14393.0
  • Websocketd 0.3.0
  • Nginx 1.12.2

2. 生成CA根证书

  • 准备ca配置文件,得到ca.conf:(vim ca.conf,内容如下:)

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = CN
countryName_default         = CN
stateOrProvinceName         = Jiangsu
stateOrProvinceName_default = JiangSu
localityName                = Sz
localityName_default        = Suzhou
organizationName            = kk
organizationName_default    = kk
commonName                  = json
commonName_max              = 64
commonName_default          = json

  • 生成ca秘钥,得到ca.key(内容如下:)

openssl genrsa -out ca.key 4096

  • 生成ca证书签发请求,得到ca.csr(内容如下:)输入内容后一路回车

openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

  • 生成ca根证书,得到ca.crt

openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

3.生成终端用户证书

  • 准备配置文件,得到server.conf ( vim server.conf,内容如下)

[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = req_ext

[ req_distinguished_name ]
countryName = CN
countryName_default = CN
stateOrProvinceName = JiangSu
stateOrProvinceName_default = JiangSu
localityName = Sz
localityName_default = Suzhou
organizationName = kk
organizationName_default = kk
commonName = json
commonName_max = 64
commonName_default = 192.168.1.1

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
IP = 192.168.1.1

  • 生成秘钥,得到server.key (内容如下)

openssl genrsa -out server.key 2048

  • 生成证书签发请求,得到server.csr (内容如下:)输入内容后一路回车

openssl req -new -sha256 -out server.csr -key server.key -config server.conf

  • 用CA证书生成终端用户证书,得到server.crt

openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial \
  -in server.csr \
  -out server.crt \
  -extensions req_ext \
  -extfile server.conf

4.使用证书

  • nginx 配置nginx.config (内容如下:)

server {
         listen       443 ssl;
         server_name  localhost;

         ssl_certificate      /etc/nginx/conf.d/server.crt;
         ssl_certificate_key  /etc/nginx/conf.d/server.key;

         ssl_session_cache    shared:SSL:1m;
         ssl_session_timeout  5m;

         ssl_ciphers  HIGH:!aNULL:!MD5;
         ssl_prefer_server_ciphers  on;

         location / {
            root   /usr/share/nginx/html;
            index  index.html index.htm;
        }
    }

  • 贴出nginx的compose文件

version: '2'
services:
	nginx:
	  image: nginx:latest
	  volumes:
	  - /docker/nginx/html:/usr/share/nginx/html:ro
	  - /etc/localtime:/etc/localtime:ro
	  - /docker/nginx/conf.d/default.conf:/etc/nginx/conf.d/default.conf:ro
	  - /docker/crt/nginx.conf:/etc/nginx/conf.d/nginx.conf:ro
	  - /docker/crt/server.crt:/etc/nginx/conf.d/server.crt:ro
	  - /docker/crt/server.key:/etc/nginx/conf.d/server.key:ro
	  restart: always
	  environment:
	  - TZ=Asia/Shanghai
	  ports:
	  - 80:80
	  - 8443:443
	  container_name: nginx

  • tomcat使用需要生成server.keystore文件(生成命令如下:)

2条命令分开执行:
这一步遇到输入框输入密码:123456,密码跟第二步的“deststorepass”密码一样就行
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "server"

执行结束后在执行下面命令:注意这个“deststorepass”的密码跟第一步输入的一样
keytool -importkeystore -v -srckeystore server.p12 -srcstoretype pkcs12 -srcstorepass 123456 -destkeystore server.keystore -deststoretype jks -deststorepass 123456

  • server.keystore的使用

修改server.xml内容,添加下面节点,这里的“server.keystore”就是上面生成的文件
    <Connector port="8443" protocol="HTTP/1.1" maxThreads="150"
               SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS"
               keystoreFile="conf/server.keystore"
               keystorePass="123456" />

  • 贴出tomcat的compose文件

version: '2'
services:
    tomcat:
      image: tomcat:latest
      restart: always
      container_name: tomcat
      ports:
        - 8080:8080
        - 8443:8443
      volumes:
        - /docker/tomcat/app/webapps:/usr/local/tomcat/webapps
        - /docker/crt/server.xml:/usr/local/tomcat/conf/server.xml:ro
        - /docker/crt/server.keystore:/usr/local/tomcat/conf/server.keystore:ro
      environment:
        - TZ=Asia/Shanghai

最后启动容器即可。

zdpyouzhe
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OpenSSL 生成CA证书及终端用户证书(1)
2401_83817843的博客
04-17 615
小编精心为大家准备了一手资料以上Java高级架构资料、源码、笔记、视频。Dubbo、Redis、设计模式、Netty、zookeeper、Spring cloud、分布式、高并发等架构技术【附】架构书籍BAT面试的20道高频数据库问题解析Java面试宝典Netty实战算法BATJ面试要点及Java架构师进阶资料《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!附】架构书籍BAT面试的20道高频数据库问题解析Java面试宝典。
Linux OpenSSL 生成CA证书及终端用户证书
专注基础架构领域
08-21 2798
一、环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = re
申请免费CA证书
weixin_43110668的博客
02-09 1697
https://blog.csdn.net/weixin_45553150/article/details/117026994
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 456
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
通过代码来申请CA证书
weixin_30468137的博客
03-20 177
最近一个项目中有关于PKI体系的搭建的内容,由于以前没有做过这部分,所以一开始一头雾水。慢慢摸索有了一丁点成果,拿出来和大家分享。说的不对的地方望能指正。 PKI体系目前成了一个企业中信息化安全方面的关键点,是信息化安全的支柱。我所在的项目是以微软技术为基础的项目,CA证书服务器是windows 2003 server自带的证书组件。 废话就不说太多了啊,...
mTLS: openssl创建CA证书
最新发布
Mr_rain的专栏
03-02 1362
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl。
dev-certificates:创建开发证书的简便方法!
05-04
创建开发证书的简便方法! 如果您是网络开发人员,并且...为您的域生成证书要为example.dev及其子域生成证书,请运行: create-certificate.sh example.dev 现在,您可以在Web服务器(例如Apache或Nginx)中安装.key和
Weblogic_81_CA配置以及单向SSL配置[整理].pdf
10-20
在WebLogic中配置SSL和CA证书可以增强服务器的安全性,防止未授权访问。 2. **应用环境** - 操作系统:Windows 2000 Server - 应用服务器:WebLogic Server 8.1(Service Pack 2) - Java开发包:JDK 1.4.2 - ...
程序员面试刷题的书哪个好-iOS-basic-knowledge:iOS基础知识整理
07-07
证书,极少免费 Https 基于 SSL/TSL 进行加密传输,http 是明文传输 Http 的端口号是80,https 的端口号是443 Https 是加密传输入,所以更加安全 2、Https 建立过程 客户端发出连接请求,并带上支持的加密算法列表、...
DominoSSL配置[整理].pdf
10-11
创建新库如"ytpucert.nsf"后,进入证书颁发机构(CA)的设置,点击"1、Create Certificate Authority Key Ring and Certificate",然后填写相关资料并创建CA密钥环。 接下来,配置证书颁发机构的概况,点击"2. ...
Apache_Https配置[整理].pdf
10-11
- 最后,使用`openssl x509`命令自签证书,或将其发送给证书颁发机构(CA)进行签名。如果是自签,命令可能类似:`openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt`。这将生成一...
免费CA证书系统
10-25
一个免费的开源的CA 证书签发系统,仅供参考和学习使用
Keytool命令来生成CA数字证书
12-05 5001
Keytool 是安全钥匙与证书的管理工具.它管理一个存储了私有钥匙和验证相应公共钥匙的与它们相关联的X.509 证书链的keystore(相当一个数据库).
自建CA生成自签名SSL证书
AlbertS Home of Technology
11-30 3687
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6209
openssl ca
自己做CA自签名证书生成
热门推荐
cuitone的专栏
02-27 1万+
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。  一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发...
记录一下CA自签证书如何生成(linux环境下一般为部署到nginx)
weixin_50936463的博客
10-07 1163
1.生成你想用的服务端的证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)1.生成你想用的证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)openssl x509 -req -in 名字.csr -signkey 名字.key -out 名字.crt。2. 生成完全加密的密钥文件pem。
keytool生成自签名证书CA证书
weixin_40857858的博客
08-18 1637
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
java生成ca证书
10-01
生成Java的CA证书,可以按照以下步骤进行。 首先,准备好一台安装有Java开发工具包(JDK)的计算机。 其次,生成一个私钥并将其存储在一个密钥库中。可以使用Java的keytool工具来执行此操作。通过在命令行中输入以下命令来生成私钥和密钥库: ``` keytool -genkeypair -alias myca -keyalg RSA -keysize 2048 -keystore mykeystore.jks ``` 此命令将生成一个2048位的RSA密钥对,并将其保存在名为mykeystore.jks的密钥库中。 接下来,生成一个自签名的CA证书。可以使用以下命令来生成自签名的证书: ``` keytool -exportcert -alias myca -keystore mykeystore.jks -file mycacert.cer ``` 此命令将从密钥库中导出一个自签名的CA证书,并将其保存为mycacert.cer文件。 最后,可以导入生成CA证书到信任库中,以便其他应用程序能够信任此CA证书。可以使用以下命令来完成此操作: ``` keytool -importcert -alias myca -file mycacert.cer -keystore cacerts.jks ``` 此命令将导入CA证书到名为cacerts.jks的信任库中。 通过这些步骤,就可以在Java中生成一个自签名的CA证书。根据具体需求,还可以对证书进行更多配置,例如设置证书有效期、指定主题等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值