自制证书实现网站https访问2

最新推荐文章于 2024-07-04 11:32:39 发布
最新推荐文章于 2024-07-04 11:32:39 发布
阅读量834 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zheyiw/article/details/88909826
版权

制作过程
1,自制CA私钥
openssl genrsa -des3 -out ca.key 4096

2,自制CA证书
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

3,自制Server私钥,生成免密码版本
openssl genrsa -des3 -out server.key 4096
openssl rsa -in server.key -out server.nosecret.key

4,制作服务端csr文件
openssl req -new -key server.key -out server.csr

5,用CA证书私钥对csr签名(CA不能用X509,这点需要注意)生成Server证书
openssl ca -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt
到此制作完成得到六个文件, 可以实现服务端ssl认证, 需要实现双向认证还要制作客户端证书

6,制作客户端秘钥
openssl genrsa -des3 -out client.key 1024

7,制作客户端csr文件
openssl req -new -key client.key -out client.csr

8,制作客户端证书
openssl ca -in client.csr -cert ca.crt -keyfile ca.key -out client.crt -days 3650

9,得到客户端证书( 客户端安装 )
openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx

需要注意的几个问题
1,在linux下面执行上面六条命令,按提示输入基本就可以了
2,提示输入密码时,统一一个简单密码就可以了,防止弄混了
3,提示输入其它信息时,全部用同一串字符就可以了,防止混乱,例如:gd
4,有两处输入域名的地方【Common Name 】一定要输入正确的网站域名,例如www.gd.cn 否则部署后浏览器会提示域名不一致,不要带端口号
5,最后检查六个文件都生成了,而且都有内容,如果出现0字节的文件说明没成功
6,如果出现类似报错: /etc/pki/CA/index.txt: No such file or directory
执行下面的语句就可以了
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
Echo “01” > /etc/pki/CA/serial
7,如果出现类似报错:TXT_DB error number 2
修改/etc/pki/CA/index.txt.attr文件:yes改为no
unique_subject = yes --> unique_subject = no

1,客户端单向验证应用( 此方法客户端没有证书也能访问 )
服务端Nginx配置
把 server.crt 和 server.nosecret.key 拷贝到 nginx\conf\ssl 目录下面

	server {
		listen 443;
		server_name 192.168.4.30;
		
		ssl on;
		ssl_certificate ssl/server.crt;
		ssl_certificate_key ssl/server.nosecret.key;

        location / {
            root   html;
            index  index.html index.htm;
        }
	}

客户端安装
双击ca.crt进行安装,安装到受信任的机构里面

重启浏览器访问https

2,服务端客户端双休验证( 此方法客户端只需要也必须安装client.pfx )

	server {
		listen 443;
		server_name hzwl.plasma.gdmk.cn;
		
		//按如下配置可以开启单向验证,客户端安装ca.crt
		#ssl on;
		#ssl_certificate ssl/server.crt;
		#ssl_certificate_key ssl/server.nosecret.key;
		//按如下配置可以开启双休验证,客户端安装client.pfx
		#ssl_client_certificate ssl/ca.crt;
		#ssl_verify_client on;	

		location / {
			proxy_pass http://localhost:44005/;
		}
	}

Nginx配置笔记:

http {
    include       mime.types;
    default_type  application/octet-stream;

	fastcgi_connect_timeout 300;
    fastcgi_send_timeout 300;
    fastcgi_read_timeout 300;
    fastcgi_buffer_size 64k;
    fastcgi_buffers 4 64k;
    fastcgi_busy_buffers_size 128k;
    fastcgi_temp_file_write_size 128k;

    sendfile        on;

    keepalive_timeout  65;

    server {
        listen       80;
        server_name  localhost;

        #charset koi8-r;

        #access_log  logs/host.access.log  main;

        location / {
            root   html;
            index  index.html index.htm;
        }

        error_page   500 502 503 504  /50x.html;
        location = /50x.html {
            root   html;
        }
    }
	
	server {
		listen 443;
		server_name hzwl.plasma.gdmk.cn;
		
		//按如下配置可以开启单向验证,客户端安装ca.crt
		#ssl on;
		#ssl_certificate ssl/server.crt;
		#ssl_certificate_key ssl/server.nosecret.key;
		//按如下配置可以开启双休验证,客户端安装client.pfx
		#ssl_client_certificate ssl/ca.crt;
		#ssl_verify_client on;	

		location / {
			proxy_pass http://localhost:44005/;
		}
	}
}
包达叔
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
自己制作ssl证书:自己签发免费ssl证书,为nginx生成自签名ssl证书
汪翰翔的Blog
12-27 2万+
这里说下Linux 系统怎么通过openssl命令生成 证书。   首先执行如下命令生成一个key   openssl genrsa -des3 -out ssl.key 1024   然后他会要求你输入这个key文件的密码。不推荐输入。因为以后要给nginx使用。每次reload nginx配置时候都要你验证这个PAM密码的。   由于生成时候必须输入密码。你可以输入后 再删掉。
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)
2401_84123357的博客
04-28 668
try {// 服务器端需要验证的客户端证书,其实就是客户端的keystore// 客户端信任的服务器端证书//读取证书//加载证书//初始化SSLContext} catch (KeyStoreException e) {…}//省略各种异常处理,请自行添加。
chrome访问自定义证书https网站出现不安全无法访问问题
热门推荐
bee-factory
10-11 1万+
解决办法在chrome启动目标加入如下参数  最后完整路径 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-infobars --ignore-certificate-errors
自己生成一个https证书
最新发布
u011649691的博客
07-04 1012
生成一个 HTTPS 证书和密钥可以通过使用 OpenSSL 工具来完成。以下是生成自签名证书和密钥的详细步骤。
自制SSL证书
谢谢俊东的博客
06-09 3441
ssl证书是个很让人纠结的东西,专业证书要么贵要么不给力,自己制作一个吧目前网上又没有特别给力靠谱的教程,今天在公司纠结了一下,搞定了。 首先要感谢这篇文章的作者,本文主要是参考这篇文章。 闲话休题,咱们言归正传。 首先找个linux,装个openssl(网上很多靠谱的教程,详细步骤略过)。 然后便开始一堆命令 openssl genrsa -des3 -out ss
自建HTTPS证书
阿祥_CSDN
07-13 6206
在做 Web 相关开发的时候,有可能需要在本地搭建 https 的环境,而在 https 环境的过程中,需要私钥和证书文件,本文提供自建证书的方案供读者参考。
简单便捷的网站证书生成工具
04-27
简单的网站证书工具,在一些WEB的认证所需要的工具,VS ,.net
mkcert自制SSL本地证书部署到Nginx并https信任使用
04-28
当你访问配置了自签名证书网站时,大多数浏览器会显示警告,因为你使用的证书不是由受信任的CA签发的。此时,你需要手动添加例外,告诉浏览器信任这个自签名的证书。具体步骤因浏览器而异,但通常包括查看证书...
Android HTTPS 自制证书实现双向认证(OkHttp + Retrofit + Rxjava)(1)
2401_84408267的博客
04-29 534
答应大伙的备战金三银四,大厂面试真题来啦!这份资料我从春招开始,就会将各博客、论坛。网站上等优质的Android开发中高级面试题收集起来,然后全网寻找最优的解答方案。每一道面试题都是百分百的大厂面经真题+最优解答。包知识脉络 + 诸多细节。节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。《960全网最全Android开发笔记》《379页Android开发面试宝典》包含了腾讯、百度、小米、阿里、乐视、美团、58、猎豹、360、新浪、搜狐等一线互联网公司面试被问到的题目。
https自制签名证书
dk's blog
08-14 370
openssl 生成证书主要工具
HTTPS 实现
碧海潮生
12-29 2193
HTTPS 实现 HTTPS 介绍 HTTPS 简史 HTTPS 工作流程 搭建https服务 首先确认安装OpenSSL 自建CA 创建服务器公私钥 使用 CA key 对服务器证书签名 搭建https工程 参考 HTTPS 介绍 HTTPS 简史 在早期HTTP诞生的这几年间,1990年~·1994年,HTTP作为一个应用层协议,它是这样工作的: 后来网景公司开发了SSL(Secure Sockets Layer)技术,然后它就变成了这样的HTTP,也就是HTTPS了: 后来爆发
HTTPS自制SSL证书
u010148813的专栏
12-15 5201
介绍https基本原理,以及自制ssl证书并安装证书,还介绍了证书格式及格式转换方法。
生成自签ssl证书
kali_yao的博客
10-18 9884
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
自建SSL证书(兼容ios)
qq_43278717的博客
03-22 1132
对于SSL/TLS服务器证书,特别是那些用于HTTPS网站证书,有几个关键的扩展和属性是必要的,以确保证书可以被客户端(如浏览器)正确识别和信任。这些细节对于确保加密连接的安全性至关重要。
生成SSL证书
yeisman的专栏
10-28 618
一、下载安装mkcert,截止至2020-5-9,最新版本为1.4.1 1、windows系统:直接下载解压即可。 下载:https://download.csdn.net/download/alinathz/12402537 2、linux系统: 在CentOS和Fedora中安装mkcert类似于Ubuntu/Debian安装,只需要先安装nss-tools工具: sudo yum install nss-tools 1 安装完成后,下载二进制包,截止至2020-5-9,最新版本为1.4.1:
ssl证书制作
Wmll1234567的博客
07-23 1297
#1 概述 本文讲述ssl tcp如何测试及使用,重点在于讲解实际操作及相关概念;适合初次接触ssl的读者。 #2 环境准备 ##2.1 Ssl协议详解(添加链接描述网站导航1 网站导航2 2) ##2.2 SSL server测试工具 ##2.3 Java 安装最新的java包,配置如下环境变量(请根据具体安装目录修改) JAVA_HOME:C:\Program Files\Java\jdk1.8.0_171 CLASSPATH:.;%JAVA_HOME%\lib\dt.jar;%JAVA_HOME%\l
https SSL 自建证书的制作
rentian1的博客
01-03 808
客户端认证服务器: 正规的做法是:到国际知名的证书颁发机构,如VeriSign申请一本服务器证书,比如支付宝的首页,点击小锁的图标,可以看到支付宝是通过VeriSign认证颁发的服务器证书:   我们用的操作系统(windows, linux, unix ,android, ios等)都预置了很多信任的根证书,比如我的windows中就包含VeriSign的根证书,那么浏览器...
jdk自制ssl证书,nginx配置https
06-20
JDK 自制 SSL 证书通常用于开发环境或测试阶段,因为生产环境中通常会从受信任的 CA(证书颁发机构)获取证书。以下是使用 JDK 自制证书的基本步骤: 1. **生成 Self-Signed Certificate (自签名证书)**: - 使用 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值