openssl自建CA服务器自签证书服务器
自建CA服务器自签证书服务器
一、配置证书服务器模板
#修改openssl.cnf文件
vi /etc/pki/tls/openssl.cnf#确保[ req ]下存在以下两行
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req#确保[ req_distinguished_name ]下没有 0.xxx 的标签,有的话把0.xxx的0.去掉
#[ v3_req ]最后一行新增如下一行内容
[ v3_req ]
subjectAltName = @alt_names#新增 [ alt_names ]
[ alt_names ]
DNS.1 = *.test.com
DNS.2 = *.test.cc
IP.1 = 219.150.218.112
IP.2 = 192.168.1.248
IP.3 = 192.168.1.249
IP.4 = 172.20.31.88
IP.5 = 172.16.21.3
IP.6 = 113.219.200.35
IP.7 = 116.163.46.143
二、申请和转换证书
#CA根证书
openssl rand -out private/.rand 1000
openssl genrsa -out private/ca.key 2048
openssl req -new -key private/ca.key -out private/ca.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=EastRayCloud CA"
openssl x509 -req -days 36500 -sha1 -extensions v3_ca -signkey private/ca.key -in private/ca.csr -out certs/ca.crt
#根证书格式转换
openssl pkcs12 -export -cacerts -inkey private/ca.key -in certs/ca.crt -out certs/ca.p12
keytool -importkeystore -v -srckeystore certs/ca.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/ca.keystore -deststoretype jks -deststorepass 9865321
#根签发服务器证书或客户端证书
openssl genrsa -out private/server.key 2048
openssl req -new -key private/server.key -out private/server.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=*.eastraycloud.com" -config /etc/pki/tls/openssl.cnf
openssl ca -days 36500 -in private/server.csr -out certs/server.crt -cert certs/ca.crt -keyfile private/ca.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
#openssl ca -days 36500 -in private/client.csr -out certs/client.crt -cert certs/ca.crt -keyfile private/ca.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
#服务器证书格式转换
openssl pkcs12 -export -clcerts -inkey private/server.key -in certs/domain.crt -out certs/domain.p12
keytool -importkeystore -v -srckeystore certs/domain.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/domain.keystore -deststoretype jks -deststorepass 9865321
#签发客户端证书
openssl genrsa -out private/client.key 2048
openssl req -new -key private/client.key -out private/client.csr -subj "/C=CN/O=EastRayCloud Technologies, Inc./OU=Domain Validated SSL/CN=*.test.com"
openssl x509 -req -days 36500 -in private/client.csr -signkey client.key -out certs/client.crt
#客户端证书格式转换
openssl pkcs12 -export -inkey private/client.key -in certs/client.cer -out certs/client.p12
keytool -importkeystore -v -srckeystore certs/test.domain.p12 -srcstoretype pkcs12 -srcstorepass 9865321 -destkeystore certs/test.domain.keystore -deststoretype jks -deststorepass 9865321
#重复签发操作
rm -f /etc/pki/CA/index.txt* /etc/pki/CA/serial*
touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
echo 01 > /etc/pki/CA/serial
三、普通加密证书申请(用于加密不验证的情况)
openssl genrsa -out private/test.domain.key 2048
openssl req -new -key private/test.domain.key -out private/test.domain.csr
openssl x509 -req -days 36500 -in private/test.domain.csr -signkey private/test.domain.key -out certs/test.domain.crt
注:想要受浏览器信任,必须下载根CA证书导入到浏览器的‘受信任的根证书颁发机构’
openssl自建CA服务器自签证书服务器相关推荐
- openssl 自建ca,颁发客户端证书
openssl 自建ca,颁发客户端证书 概念理解 数字证书: 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而 ...
- 互联网协议 — TLS — 使用 OpenSSL 自建 CA 中心
目录 文章目录 目录 使用 OpenSSL 自建 CA 并签发证书 示例 Step 1. 搭建 CA 中心 Step 2. 生成 CA 的 RSA 私钥 Step 3. 生成 CA 的公钥(CA 证书 ...
- 基于OpenSSL自建CA和颁发SSL证书
关于SSL/TLS介绍见文章 SSL/TLS原理详解. 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 . openssl是一个开源程序的套件.这个套件有三 ...
- Openssl私建CA
构建私有CA: 在确定配置为CA的服务上生成一个自签证书,并为CA提供所需要的目录及文件即可: 步骤: (1) 生成私钥: [root@centos7 ~]# (umask 077; ope ...
- OpenSSL自建CA和签发二级CA及颁发SSL证书
自己签发CA证书再签发服务器证书的场景非常简单.把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书. 但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如 像百度这种,网站使 ...
- 利用openssl自建ca并且使apache2用自建的ca证书进行https链接(自用,,,
参考了信安实践--自建CA证书搭建https服务器 - LiBaoquan - 博客园 (cnblogs.com) 加一些关于apache的命令: sudo systemctl start apach ...
- openssl 自建CA签发证书 网站https的ssl通信
<<COMMENT X509 文件扩展名 首先我们要理解文件的扩展名代表什么.DER.PEM.CRT和CER这些扩展名经常令人困惑. 很多人错误地认为这些扩展名可以互相代替.尽管的确有时候 ...
- openssl工具详解及自建CA方法
前言: openssl是一款很强大的多用途的开源加密解密的命令行工具,比如创建私钥,创建证书签名请求,测试各种加密算法耗时等等. 在我们进入openssl工具讲解之前,我们有必要先了解先Linux下的 ...
- CA自签证书的颁发及应用
1.首先安装openssl软件和ssl模块 [root@localhost ~]# yum install openssl [root@localhost ~]# yum install mod_ss ...
- 加密解密、Openssl、自建CA
一.三种加密方式 1.对称加密 工作机制:需要对加密和解密使用相同密钥的加密算法.密钥是控制加密及解密过程的指令.算法是一组规则,规定如何进行加密和解密.将原文分割成固定大小的数据块,对这些进行 ...
最新文章
- 视频编码中的RC(rate control)是什么?码率控制 CBR (Constant Bit Rate)、VBR (Variable Bit Rate)
- 本地配置_Hadoop本地模式的安装配置
- 国内手机产业混乱:产业一窝蜂 企业捞快钱
- E-MapReduce解决hive comment中文乱码问题
- 5 多数据save_5个高质量行业数据报告资源下载地方,自己想一下有多重要吧
- mysql两个空值相同吗_你知道mysql中空值和null值的区别吗
- mysql 5.6 bug_MySQL 5.6的一个bug引发的故障
- Q96:PT(3.3):大理石纹理(Marble Texture)
- java amr转mp3_在java中使用ffmpeg将amr格式的语音转为mp3格式
- 考研最后冲刺:这些要提前准备!
- 解决Redis manger 连接不上linux redis的问题
- 线程三连鞭之“线程基础”
- mysql存储过程工作日判断_Oracle存储过程根据指定日期返回(N个)工作日的时间...
- NProgress.js进度条
- 转:不懂这些,你所谓的“复盘”都是无用功
- Docker容器安装ssh
- 【论文阅读】Spatio-Temporal Graph Convolutional Networks:...Traffic Forecasting[时空图卷积网络:用于交通预测的深度学习框架](1)
- Android Mms专题之:Mms概览介绍
- 使用 Nginx 提供 DDNS 服务(中篇)
- Solr基础教程之Schema.xml(二)
热门文章
- 计算机硬件组成框图,以及各部件的作用及计算机系统的主要技术指标概念理解
- linux开机自动root,linux怎样设置root自动登录
- 猫和老鼠服务器正在修复中,猫和老鼠手游:关于29日在游戏中出现的异常问题 是暗改还是bug?...
- 游戏命中判定:圆桌算法和程序实现
- 计算机应用基础IE浏览器设置,计算机应用基础IE浏览器设置学习笔记.docx
- 刷新bios后电脑死机了怎么办
- css 平行四边形 梯形 组合_css3实现平行四边形框效果
- 【基于 C++ 面向 Window API 的自制工具】批量重复单键操作器
- Markdown博客系统的搭建与使用
- 测试-- 自动化测试selenium(关于API)