使用OpenSSL生成自签证书

最新推荐文章于 2024-07-24 21:58:44 发布
最新推荐文章于 2024-07-24 21:58:44 发布
阅读量1.8k 收藏 6
点赞数 2
分类专栏: 运维大桶 文章标签: ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zpsimon/article/details/133804745
版权

什么是OpenSSL

OpenSSL是一个开源的软件库和工具套件,用于安全地处理网络数据传输中的加密、解密、安全套接层(SSL)以及传输层安全(TLS)协议等功能。它广泛应用于网站和互联网服务中,以确保数据传输的安全性和隐私性。OpenSSL可以运行在多种操作系统上,并为程序员提供了用C、C++、Python等语言编写的应用程序接口(API)。官网:https://www.openssl.org/

安装OpenSSL

参考:https://www.feistyduck.com/library/openssl-cookbook/online/openssl-command-line/building-openssl.html

使用OpenSSL生成自签证书

创建ca根证书及其私钥

ca证书及其私钥是后续创建其他证书的前提,相当于其他证书是经过ca证书认证后颁发的。

分2步:

创建ca私钥

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out ca_private_key.pem

用私钥创建ca根证书

openssl req -x509 -days 3650 -new -key ca_private_key.pem -subj "/CN=kubernetes" -out ca_root_certificate.pem

根据CA根证书及其私钥生成自签名证书

生成服务器(或客户端)私钥

openssl genpkey -algorithm RSA -out server_private_key.pem -pkeyopt rsa_keygen_bits:2048

创建服务器证书签名请求(CSR)

openssl req -new -key server_private_key.pem -subj "/CN=www.zptest.com/C=CN/L=ShenZhen/ST=GuangDong" -out server_csr.pem

注意:-subj的格式:/type0=value0/type1=value1/type2=…

例如:-subj "/CN=www.zptest.com/C=CN/L=ShenZhen/ST=GuangDong"

或者如下用配置文件代替命令行-subj "/CN=www.zptest.com"的方式:

  • step1:先创建csr配置文件:csr.conf;
  • step2:再使用-config选项创建csr

如下:

# step1
cat > csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
ST = GuangDong
L = ShenZhen
CN = www.zptest.com

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
IP.1 = 127.0.0.1
EOF

# step2
openssl req -new -key server_private_key.pem -out server_csr.pem -config csr.conf

使用ca根证书签发服务器(或客户端)证书

openssl x509 -req -days 365 -in server_csr.pem -CA ca_root_certificate.pem -CAkey ca_private_key.pem -set_serial 01 -out server_certificate.pem

-set_serial 01:选项是为证书分配的唯一表示标识号,类似于身份证。值类型可以为十进制或者十六进制(通过前缀加0x)。每个X.509证书的序列号必须唯一,以便在需要时轻松确定、追踪和管理特定证书。例如,在撤销证书时,可以使用序列号查询或标记证书已撤销

可以通过如下方式查询到证书的序列号:

openssl x509 -in server_certificate.pem -noout -text | grep -i "Serial Number"

验证服务器(或客户端)证书

openssl verify -CAfile ca_root_certificate.pem server_certificate.pem

输出server_certificate.pem: OK则表明证书验证成功。

补充:

查看证书的详细信息:

[root@k8s-master openssl_test]# openssl x509 -noout -text -in  server_certificate.pem
Certificate:
    Data:
        Version: 1 (0x0)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=kubernetes
        Validity
            Not Before: Oct 11 07:03:51 2023 GMT
            Not After : Oct 10 07:03:51 2024 GMT
        Subject: C=CN, ST=GuangDong, L=ShenZhen, CN=www.zptest.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:a1:36
……

总结

  1. 创建自签名证书需要先创建一个“自认权威”的ca,充当第三方CA的角色。这就涉及到创建ca私钥和创建ca根证书

  2. 通过证书签名请求中的-subj来指定证书绑定哪个(哪些)域名

  3. 使用证书时,域名要和证书中的域名对应上

  4. 使用curl访问域名时,要手动指定ca证书来进行校验,通过--cacert选项来指定

    比如:

    [root@k8s-master cfssl_test]# curl -L www.zptest.com/index.html --cacert ca.pem
hello nginx

知识补充

openssl中genpkey和genrsa命令有啥区别?

genrsagenpkey命令都可以在OpenSSL中生成RSA私钥,但二者之间存在一些区别:

  1. 可生成的密钥类型:
  • genrsa命令仅用于生成RSA私钥。
  • genpkey更通用,可以生成不仅仅是RSA类型的私钥,还可以生成其他如DSA、EC(Elliptic Curve)等多种类型的私钥。
  1. 算法参数和选项:
  • genrsa只支持一部分RSA相关的选项。
  • genpkey支持各种密钥类型的全部参数和选项,并拥有更多的灵活性。

OpenSSL版本:

  • genrsa命令在早期的OpenSSL版本已经存在,所以对于使用较旧版本的OpenSSL的用户来说,genrsa可能是更常用的命令。
  • genpkey命令在OpenSSL中引入较晚,但由于其通用性和灵活性,现在被官方推荐使用,尤其在生成非RSA密钥时。

总结:尽管genrsagenpkey都可以生成RSA私钥,但genpkey命令更为通用且灵活,适用于生成各种密钥类型。因此,建议在现代应用中使用genpkey命令生成私钥

附录

OpenSSL官网

OpenSSL cookbook

zpsimon
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用OpenSSL生成/签发证的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证签名请求(.csr)2.3 (可选)直接同时生成私钥和证签名请求2.4 将证申请请求(.csr)提交给CA认证机构申请证(.crt)2.5 CA机构生成CA证链3 生成自签名证3.1 创建私钥(.key)3.2 基于私钥(.key)创建证签名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证签名请求(.csr
使用 OpenSSL 创建生成CA 证服务器客户端证及密钥
01-16
使用OpenSSL生成密钥与证,并进行双向验证
Windows下使用OpenSSL生成自签名证
xuanyushifeng的博客
02-26 7354
Windows下使用OpenSSL生成自签名证 1、下载OpenSSL安装包,安装完后,目录结构如下: 安装完成后,在系统环境变量里面添加路径。 2、在随便位置创建ssl文件夹,我是在D盘根目录下创建ssl文件夹(名称随便取),用于存放生成的证文件。 3、打开CMD命令窗口,切换到SSL文件夹路径,输入命令openssl回车。 (1)输入命令:genrsa -des3 -out mycert...
openssl ---公钥、私钥、证详解以及genrsarsa命令详解
最新发布
qq_41768644的博客
07-24 683
openssl genrsa openssl rsa详解 openssl 公钥 私钥 详解
OpenSSL签证详解
云原生运维
12-25 7041
数字证的基本概念 数字证的标准 X.509版本号:指出该证使用了哪种版本的X.509标准,版本号会影响证中的一些特定信息 序列号:由CA给予每一个证分配的唯一的数字型编号,当证被取消时,实际上是将此证序列号放入由CA签发的CRL(Certificate Revocation List证作废表,或证黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证时所使用的签名算法,常见算法如RSA 签发者信息:颁发证的实体的 X.500 名称信息。它通常为一个 CA 证的有效
openssl签证
m0_46961250的博客
04-26 204
openssl签证 1、自签证测试 安装nginx yum -y install nginx 检查nginx的ssl模块 [root@ docker ~]# nginx -V nginx version: nginx/1.16.1 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2k-f...
OpenSSL签证
LeoForBest的博客
11-24 492
OpenSSL签证OpenSSL 签发证命令网页 内网搭建https时需要用到自签证,顺手用前端弄了个网站方便生成 OpenSSL 签发证命令 # 生成根证 openssl genrsa -out example.com.key 2048 openssl req -x509 -new -nodes -key example.com.key -subj "/CN=example.com" -days 5000 -out example.com.crt # 生成服务证请求 openss
使用OpenSSL签证
约定喵
01-05 4085
目录 文章目录目录一. 名词解释1. CA机构2. SSLSSL Certificates)3. HTTPS(超文本传输安全协议)4. 单向认证5. 双向认证二. 获取证途径三. 使用OpenSSL签证前置准备1. 生成CA证生成步骤注意事项2. 生成服务端证配置文件生成步骤注意事项3. 生成客户端证生成步骤四. 配置证单向认证双向认证五. 吊销列表吊销步骤Nginx使用吊销列表 一. 名词解释 1. CA机构 电子商务认证中心、电子商务认证授权机构。是负责发放和管理数字证的权威机构
使用openssl生成自签名证
06-13
使用openssl生成IIS可用的SHA-256自签名证 超详细步骤!
Windows 使用OpenSSL生成签证(亲测,实际操作)非直接摘录或转载,错误:unable to load CA private key的问题解决
songlh1234的博客
06-28 9220
近期因为工作方面的原因,需要用到https证管理。因此就搜索了几篇文章造自签证,参考了几篇文章。还是这个稍微靠谱点,备份保留分享给大家。这个是我用此方法生成的证,在我们公司的测试环境中验证通过。具体证内容在这里就不贴出来了,大家可以按此方法进行尝试。 以下内容为原博文内容: 一,前言 经常写博客的小伙伴儿都知道,大家一般在前言里面会提到为什么写这篇博客,而我这篇博客 主要是探讨OpenSSL自签名证,用于对安全性要求比较高的商业活动。。 ...
openssl命令制作生成和自签名
10-12
openssl命令制作生成和自签名
openssl 生成签证
曾文锋开发日志
02-01 968
在要生成的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt ./demoCA/serial,在serial文件中写入第一个序列号“01” 1.生成X509格式的CA自签名证 $openssl req -new -x509 -keyout ca.key -out ca.crt 2.生成服务端的私钥(ke...
OpenSSL签证
gltncx11的博客
06-05 173
安装openssl 1.生成私钥 openssl genrsa -out server.key 2048 2.生成请求文件SCR openssl req -new -key server.key -out server.csr 然后根据提示输入一些信息 Common Name这里,要填写成使用SSL(即:https协议)的域名或主机名,否则浏览器会认为不安全。例如:如果以后打算用https://aimuti/xxx 这里就填写aimuti 3.完成CA的证 openssl req -new -
openssl签证
小x的博客
07-26 591
//生成CA 密钥 openssl genrsa -out ca-key.pem 2048 // 生成CA 证 openssl req \ -outform pem -out ca-cert.pem \ -key ca-key.pem -new -x509 \ -days 3650 \ -subj "/CN=trend.com/O=Example Co./OU=Engineering/L=Boston/ST=MA/C=US" //如果没有"basicConstr
使用Openssl生成签证
罗小爬的技术宝书
08-21 9021
graph LR S[开始]-- openssl genrsa-->A1[ca.key] A1-- openssl req --> B(ca.csr) B --openssl ca--> C(ca.cert) C --> D
openssl签证(带ip或者域名)
cloudfantasy的博客
04-09 4912
openssl.cnf # To use this configuration file with the "-extfile" option of the # "openssl x509" utility, name here the section containing the # X.509v3 extensions to use: # extensions = # (Alternatively, use a configuration file that has only # X....
openssl生成签证
运维@小兵的博客
09-26 916
yum install openssl -y openssl genrsa > cert.key openssl req -new -x509 -key cert.key -subj “/CN=common” >cert.pem ls
openssl生成自签ca证
08-16
使用 OpenSSL 生成自签名 CA 证,你可以按照以下步骤进行: 1. 首先,确保你已经安装了 OpenSSL 工具。 2. 打开终端或命令行窗口,导航到你想保存证的目录。 3. 生成私钥文件(key.pem): ``` openssl genrsa -out key.pem 2048 ``` 4. 生成自签名证请求(csr.pem): ``` openssl req -new -key key.pem -out csr.pem ``` 在执行该命令时,你需要提供一些证信息,如国家、州、组织等。 5. 使用私钥和证请求生成自签名 CA 证(cert.pem): ``` openssl x509 -req -in csr.pem -signkey key.pem -out cert.pem ``` 在执行该命令时,你还可以设置证的有效期等信息。 6. 现在,你已经成功生成了自签名的 CA 证(cert.pem)和私钥(key.pem)文件。 请注意,自签名的证在生产环境中不被广泛接受。在实际部署中,请考虑使用受信任的第三方证颁发机构(CA)签署证,以确保更好的安全性和信任级别。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值