openssl制作证书

最新推荐文章于 2024-05-08 19:56:45 发布
最新推荐文章于 2024-05-08 19:56:45 发布
阅读量243 收藏
点赞数
原文链接:https://www.jianshu.com/p/e401d0027b95
版权

搭建制作证书的环境

  • 新建一个证书制作的测试目录,比如mycerts
  • 从系统中的openssl安装目录的证书制作配置文件openssl.cnf(比如/etc/ssl/openssl.cnf)拷贝到测试目录中
  • 创建demoCA目录,demoCA相当于是一个完整的CA机构,有一个数据库,管理各种证书文件信息
    /home/mycerts # mkdir demoCA
  • 创建demoCA/newcerts目录,该目录存储用户证书文件,每制作一个用户证书文件,会自动拷贝这里,并用序号命名,比如01.pem
    /home/mycerts # mkdir demoCA/newcerts
  • 创建serial文件,用于记录当前的用户证书文件数量,每次制作一个用户证书文件,里面的值会自动加1
    /home/mycerts # echo '01' > demoCA/serial
  • 创建index.txt文件,用于记录每个用户证书的信息,比如证书标志,证书subject信息,序号等
    /home/mycerts # touch demoCA/index.txt
  • 创建crlnumber文件,用于记录当前的crl文件数量,每次制作一个crl文件,里面的值会自动加1
    /home/mycerts # echo '00' >./demoCA/crlnumber

制作CA证书

创建CA私钥文件(-des3选项要求输入私钥的密码,比如ca123456)

openssl genrsa -des3 -out ca1.key 1024
openssl genrsa -des3 -out ca2.key 1024
openssl rsa -noout -text -in ca1.key //查看RSA格式的私钥文件

利用CA私钥自签署CA证书

openssl req -config openssl.cnf -new -x509 -days 3650 -key ca1.key -out ca1.crt -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myCa1"
openssl req -config openssl.cnf -new -x509 -days 3650 -key ca2.key -out ca2.crt -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myCa2"
openssl x509 -noout -text -in ca1.crt //查看x509格式的CA证书

制作用户证书(服务器和客户端都属于用户证书)

创建用户私钥文件(-des3选项要求输入私钥的密码,比如123456)

openssl genrsa -des3 -out user1.key 1024
openssl genrsa -des3 -out user2.key 1024
openssl genrsa -des3 -out user3.key 1024
openssl genrsa -des3 -out user4.key 1024
openssl genrsa -des3 -out user5.key 1024
openssl rsa -noout -text -in user1.key

创建证书请求文件

openssl req -config openssl.cnf -new -key user1.key -out user1.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer1"
openssl req -config openssl.cnf -new -key user2.key -out user2.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer2"
openssl req -config openssl.cnf -new -key user3.key -out user3.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer3"
openssl req -config openssl.cnf -new -key user4.key -out user4.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer4"
openssl req -config openssl.cnf -new -key user5.key -out user5.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myServer5"
openssl req -noout -text -in user1.csr //查看证书请求文件

利用CA证书签署证书请求文件生成用户证书

openssl ca -config openssl.cnf -keyfile ca1.key -cert ca1.crt -in user1.csr -out user1.pem -days 1095
openssl ca -config openssl.cnf -keyfile ca1.key -cert ca1.crt -in user2.csr -out user2.pem -days 1095
openssl ca -config openssl.cnf -keyfile ca2.key -cert ca2.crt -in user3.csr -out user3.pem -days 1095
openssl ca -config openssl.cnf -keyfile ca2.key -cert ca2.crt -in user4.csr -out user4.pem -days 1095
openssl ca -config openssl.cnf -keyfile ca2.key -cert ca2.crt -in user5.csr -out user5.pem -days 1095
openssl x509 -noout -text -in user1.pem //查看x509格式的用户证书文件,可以看到签署者(Issuer)是哪个CA

//查看一下当前demoCA中管理的信息
/home/mycerts # cat demoCA/index.txt
V 201217031637Z 01 unknown /C=CN/ST=myprovince/O=myorganization/OU=mygroup/CN=myServer1
V 201217031817Z 02 unknown /C=CN/ST=myprovince/O=myorganization/OU=mygroup/CN=myServer2
V 201217031937Z 03 unknown /C=CN/ST=myprovince/O=myorganization/OU=mygroup/CN=myServer3
V 201217031946Z 04 unknown /C=CN/ST=myprovince/O=myorganization/OU=mygroup/CN=myServer4
V 201217031955Z 05 unknown /C=CN/ST=myprovince/O=myorganization/OU=mygroup/CN=myServer5
/home/mycerts # ll demoCA/newcerts/
total 20
-rw-r--r-- 1 root root 3114 Dec 18 11:16 01.pem
-rw-r--r-- 1 root root 3114 Dec 18 11:18 02.pem
-rw-r--r-- 1 root root 3114 Dec 18 11:19 03.pem
-rw-r--r-- 1 root root 3114 Dec 18 11:19 04.pem
-rw-r--r-- 1 root root 3114 Dec 18 11:19 05.pem
/home/mycerts # cat demoCA/serial
06
/home/mycerts # cat demoCA/crlnumber
00

制作证书撤销列表文件

利用CA证书撤销用户证书,然后生成证书撤销列表文件

(注意,可以使用任意一个ca证书来撤销其它ca证书签署的用户证书)
openssl ca -keyfile ca1.key -cert ca1.crt -revoke user2.pem
openssl ca -gencrl -keyfile ca1.key -cert ca1.crt -out test1.crl

openssl ca -keyfile ca2.key -cert ca2.crt -revoke user5.pem
openssl ca -gencrl -keyfile ca1.key -cert ca1.crt -out test2.crl

openssl crl -noout -text -in test1.crl //查看crl文件

转换证书格式

PEM格式转换成DER格式,用户证书、使用、crl文件需要使用不同的命令

openssl x509 -outform der -in user1.pem -out user1.pem.der
openssl rsa -outform der -in user1.key -out user1.key.der
openssl crl -outform der -in test1.crl -out test1.crl.der

PEM格式转换成PFX格式(将私钥和公钥合二为一)

openssl pkcs12 -export -out user1.pfx -inkey user1.key -in user1.pem -certfile ca1.crt



作者:jimmy1984xu
链接:https://www.jianshu.com/p/e401d0027b95
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

翟小江
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过openssl搭建CA中心并验证签名证书有效
weixin_30485379的博客
03-25 386
在linux下搭建CA中心,并在客户端验证CA签名是否正确:   在linux上搭建CA中心主要是通过openssl工具包进行的:   1.ca中心的文件夹结构树      demoCA/ |--cacert.pem |--certs | |--01.pem |--index.txt |--index.txt.attr |--openssl.cnf |...
OPENSSL证书制作与浏览器认证
redwingz的博客
05-18 1399
准备环境 $ mkdir -p CA/{certs,crl,newcerts,private} $ $ touch CA/index.txt $ $ echo 00 > CA/serial 生成CA秘钥 $ openssl genrsa -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ....
openssl 生成证书步骤
hinewcc的博客
05-08 3264
本地使用 openssl 生成证书
Openssl生成数字证书(包含编译好的Openssl win32 release静态库)
06-11
Openssl生成数字证书,包含编译好的Openssl win32 release静态库,和测试已经生成的服务端、客户端证书和Key。具体生成方法参考:http://blog.csdn.net/ljttianqin/article/details/73016014
Windows下OpenSSL创建CA证书以及客户端和服务器端证书
iihero@CSDN
12-28 1万+
由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下:最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。创建证书,我目前知道的大概这么几种:1.keytool   不能创建CA证书2.Sybase ASA自带的createcert.exe   好像不能创建PKCS12型证书3.OpenSSL   功能最强大。所以,这里干脆只介绍OpenSS
openSSL制作证书并在tomcat上配置
05-21
openSSL证书生成及Tomcat配置 本文将详细介绍openSSL证书生成和在Tomcat上的配置。首先,我们将学习openSSL的基本概念和命令,然后逐步生成服务器端和客户端的证书文件,并介绍如何使用CA证书签名这些证书文件。...
openssl,用于制作证书
最新发布
07-18
openssl,用于制作证书
Rockey Linux下OpenSSL制作自签名CA证书应用
07-13
### Rocky Linux下OpenSSL制作自签名CA证书应用 在当今高度数字化的世界中,网络安全变得尤为重要。其中,证书的使用是确保网络通信安全的关键之一。本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自...
OpenSSL证书制作
12-22
OpenSSL制作CA证书操作步骤,参照文档具体操作步骤。
OpenSSL证书制作过程
12-01
本文详细介绍了使用OpenSSL制作证书的过程,包括自签名CA的创建、服务器证书和客户端证书的颁发,以及如何在J2EE环境中使用这些证书。通过这些步骤,可以构建一个完整的安全通信体系,保障数据传输的安全性和通信...
OpenSSL 自建CA及签发证书
热门推荐
scuyxi的专栏
02-08 2万+
ref: http://rhythm-zju.blog.163.com/blog/static/310042008015115718637/利用 OpenSSL 建立 CA 及自行签发证书。1. 创建CA目录结构在CA的配置文件中,有说明默认CA的目录。 创建默认CA下的目录及文件如下图(.old文件和.attr文件是签发证书后自动生成的文件)。 其中, newcerts目录用于存放CA
基于 OpenSSL 自建 CA 和颁发 SSL 证书
ximenghappy的专栏
02-08 4083
基于 OpenSSL 自建 CA 和颁发 SSL 证书原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 颁发证书不仅可以用来鉴权,而且使你的通信更加的安全(请保护好你的证书)。在实际的软件开发中,越来越多的服务用到 HTTPS,证书的需求随之增加。那么对于我们开发者,通过自签名证书...
openssl生成证书及简化身份验证
louObaichu的专栏
09-01 2096
概述 本文将给出数个用于生成SSL证书的bat脚本,并探讨当不需要身份验证时可行的简化方案。 本文面向openssl初学者,但需要一定的密码学基础知识。具体包括 对称加密、非对称加密、密钥、公钥、数字证书,以上概念只需了解即可。 本文假设你已经下载安装了openssl,文章内容将不包含安装openssl。打开CMD输入openssl来验证你的openssl是否可以正常使用。 开发环境 ...
openssl详解与应用教程
qq_36973838的博客
07-29 7241
通过openssl version -a查看当前openssl的版本,一般的linux系统会自带SSL。 通过vim /usr/lib/ssl/openssl.cnf修改配置文件,这里修改了默认文件夹、私钥名、证书名。 通过cd ssl进入默认文件夹 在默认文件夹创建所需的目录和文件 mkdir -pv {certs,crl,newcerts,private} touch {serial,index.txt,index.txt.attr} -pv可以显示执行进度 指明证书开始的编号 echo 01
在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书
树下一少年的博客
01-07 8804
本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演 在Linux上使用openssl生成CA认证文件并为服务器和客户端颁发CA签名证书 一.生成认证主要流程 1.虚拟出一个CA认证机构,生成公私钥以及自签证书 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 4.生成证书 二.具体过程 1.虚拟CA机构方生成内容 2.服务器方生成 3.客户端方生成
OpenSSL生成证书
Jerry的专栏
03-18 1928
<br /><br />要生成证书的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt ./demoCA/serial,在serial文件中写入第一个序列号“01”<br />1.生成X509格式的CA自签名证书 <br />$openssl req -new -x509 -keyout ca.key -out ca.crt<br /> <br />2.生成服务端的私钥(key文件)及csr 文件 <br />$openssl gen
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1710
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl
https网络编程——使用openssl库自建根证书_openssl 生成根证书
2401_83642079的博客
04-05 456
创建ca文件夹,存放所有有关文件创建root文件夹存放根证书
openssl制作证书的流程
05-24
以下是使用 OpenSSL 制作证书的基本流程: 1. 生成私钥 使用 OpenSSL 命令生成一个私钥文件(例如 mykey.pem): ``` openssl genrsa -out mykey.pem ``` 2. 生成证书签名请求 (CSR) 使用上一步中生成的私钥文件,生成一个证书签名请求文件(例如 myreq.csr): ``` openssl req -new -key mykey.pem -out myreq.csr ``` 在这个过程中,你需要输入一些关于证书的信息,如证书的名称、国家、州、城市等。 3. 生成自签名证书 使用上一步中生成的证书签名请求文件,生成一个自签名证书文件(例如 mycert.pem): ``` openssl x509 -req -days 365 -in myreq.csr -signkey mykey.pem -out mycert.pem ``` 其中 `-days` 参数指定证书的有效期,可以根据需要进行调整。 4. 验证证书 使用 OpenSSL 命令验证证书的有效性: ``` openssl verify mycert.pem ``` 如果返回 `OK`,则表示证书有效。 以上就是使用 OpenSSL 制作证书的基本流程,具体操作可根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值