OpenSSL生成自签名的sha256泛域名证书
环境:
CentOS 6.8 x86_64
安装
openssl openssl-devel
cp /etc/pki/tls/openssl.cnf openssl.cnf
修改openssl.cnf
[ req ]
distinguished_name = req_distinguished_name
default_md = sha256 #将sha1改为sha256
req_extensions = v3_req #取消这行注释
# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = GuangDong
localityName = Locality Name (eg, city)
localityName_default = ShenZhen
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = 303 IT Lab
commonName = IT Lab
commonName_max = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names #增加这行
# 新增以下部分
[ alt_names ]
DNS.1 = abc.com
DNS.2 = *.abc.com
DNS.3 = xyz.com
DNS.4 = *.xyz.com
可以自行增加多域名
创建相关目录及文件
mkdir -p CA/{certs,crl,newcerts,private}
touch CA/index.txt
echo 00 > CA/serial
1.生成ca.key并自签署
openssl req -utf8 -sha256 -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2.生成server.key
openssl genrsa -out server.key 2048
3.生成证书签名请求
openssl req -utf8 -new -sha256 -key server.key -out server.csr -config openssl.cnf
Common Name 就是在这一步填写 *.abc.com common name一定要在alt_names中包含
4.查看签名请求文件信息
openssl req -in server.csr -text
检查 Signature Algorithm 是不是sha256WithRSAEncryptio
5.使用自签署的CA,签署server.scr
openssl ca -in server.csr -md sha256 -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
注意:即便是你前面是sha256的根证书和sha256的请求文件,如果不加-md sha256,默认是按照sha1进行签名的
6.查看证书
openssl x509 -in server.crt -text
同样检查 Signature Algorithm 是不是sha256WithRSAEncryptio
转载于:https://blog.51cto.com/fengwan/1869743
OpenSSL生成自签名的sha256泛域名证书相关推荐
- 基于 OpenSSL 生成自签名证书,数字签名,泛域名证书,ca证书,PKI等
基于 OpenSSL 生成自签名证书_qhh0205-CSDN博客_openssl自签名证书 windows 下 nginx 双向认证自签名证书配置 windows 下 nginx 双向认证自签名证书 ...
- 使用OpenSSL生成IIS可用的SHA-256自签名证书
使用OpenSSL生成IIS可用的SHA-256自签名证书 好吧,2017年iOS就开始强制开启ATS了,那么所有的网站.API.网页.资源路径等都需要使用TLS1.2以上的标准了! 自签名证书已经不 ...
- Openssl生成自签名证书并导入浏览器脚本
Openssl生成自签名证书并导入浏览器 使用说明 1. 准备工作 2. 脚本 3. 导入浏览器 4. 使用证书 使用说明 环境:Centos 7 运行脚本后可以生成根证书.自签名证书(可以指定域名或 ...
- 使用 acme.sh 生成免费的泛域名证书
原文发布在 不二博客 在 使用 acme.sh 为网站生成永久免费证书 一文中介绍了如何安装 acme.sh 以及如何生成证书,这篇文章就来说一说如何使用 acme.sh 来生成泛域名证书,即主域名和 ...
- 泛域名证书的域名缺少中间证书处理方法
1.使用的泛域名证书在某些场景下访问提示证书不安全,提示错误 2.到https://www.myssl.cn/tools/check-server-cert.html验证证书安全性后,检测出证书缺少中 ...
- 申请 AlphaSSL (Loovit.Net) 免费泛域名证书的那些坑
自从得知可以在 assl.loovit.net 申请到免费泛域名证书之后就一直想着把博客的 WoSign 证书换掉,毕竟部分 WoSign 的证书 Chrome 已经不再信任了,自己的博客从小绿锁变成 ...
- Kubernetes集群配置免费的泛域名证书支持https
前言 kubernetes 集群默认安装的证书是自签发证书,浏览器访问会发出安全提醒. 本文记录了利用 dnspod . cert-manager .let's encrytp 等开源组件,实现泛域名 ...
- let's encrypt部署免费泛域名证书
环境说明 [root@localhost ~]# cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core) [root@localhos ...
- 宝塔ssl验证域名失败_申请一年期限的AlphaSSL泛域名证书 – 安装第三方证书
陌涛一开始用的是腾讯云的TrustAsia 域名型SSL证书(DV)(1年),但是子域名比较多,所以放弃.转而使用时长为3个月的Let's Encrypt.还可以通过宝塔自动续签,体验良好.不过这玩意 ...
最新文章
- hbuildx打包成apk_HBuilder打包webapp为apk的方法
- 各种格式的视频播放的代码(wma格式)
- opencv python 从摄像头获取视频、帧率、分辨率等属性设置和使用
- oracle虚拟机 centos6.5,虚拟机oracle virtualbox 上安装centos6.5 网络设置
- Django学习笔记之——Forms
- SAP Cloud for Customer Lead OData服务的ETAG字段
- http服务器响应格式,熟悉Http协议的请求和响应格式,编写一个简单的Http服务器。 基本要求:1 正确解...
- idle点开没反应_翟天临、靳东,一个人越是没文化越是喜欢装
- python画十字_matplotlib绘制鼠标的十字光标的实现(内置方式)
- android 自定义button点击事件,自定义View(2)-从源码分析button的onClick和onTouch
- Code a simple telnet client using sockets in python
- Atitit.java 反编译 工具 attilax 总结
- Android学习笔记——用户界面开发进阶(多个示例记录)
- C++ Reflection
- 研发人员需要什么知识和能力
- python pycharm spider pip docker
- 心流体验:与挑战颉颃的乐趣
- 【跨域】Access-Control-Allow-Origin 简单介绍
- Linux学习之----socket网络编程基础
- 程序员的灯下黑:管理还是技术?兴趣优先