利用openssl签署多域名证书
openssl自建CA默认签署的是单域名证书,因为单台服务器上有多个https域名,签署多域名证书能方便很多,今天找了很久,除了一些卖证书的网站上有scr工具能加“使用者备用名称”,都没有找到openssl相关的添加方法。
后来看openssl.cnf找到一个方法,这里记录一下:
!!这个方法比较笨重,如果有其他方法,欢迎留言给我,感激不尽。
(已找到,详见使用openssl为ssl证书增加“使用者备用名称(DNS)”)
主要修改在openssl.cnf
将文件中原来的
commonName = Common Name (eg, your name or your server\'s hostname)
commonName_max = 64
修改为
0.commonName = Common Name (eg, your name or your server\'s hostname)
0.commonName_max = 64
就是在前面加了个 “0.”,好了,如果要添加其他域名,只需要再增加相同的记录,前面的序号依次递增即可:
0.commonName = Common Name (eg, your name or your server\'s hostname)
0.commonName_max = 64
1.commonName = other Common Name
1.commonNAme_max = 64
......
其他的步骤:
openssl.cnf中会要求部分文件及目录存在:
[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}
[root@localhost]# touch CA/index.txt
[root@localhost]#echo 00 > CA/serial
1.生成ca.key并自签署
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048
3.生成证书签名请求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在这一步填写的,每次一个,如果没有那么多,可以直接回车
4.使用自签署的CA,签署server.scr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
#输入第一步设置的密码,一直按y就可以了
server.crt server.key就是web服务器中使用的文件。
NGINX 双向认证
如果要做NGINX客户端证书验证的话,重复2、3、4,并执行下面命令生成个人证书
openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12
将个人证书导入pc,同时在nginx ssl基础上增加设置:
ssl_verify_client on;
ssl_client_certificate ca.crt;
另外:nginx的双向认证是相对独立的,你可以在验证server端用你购买的ssl证书,然后在验证客户端用自签名的ca和证书。
转载于:https://blog.51cto.com/colinzhouyj/1564916
利用openssl签署多域名证书相关推荐
- TLS初探(4)多域名证书
在"TLS初探(2)证书简介"中提过,如想使用泛域名,可在Subject DN(Distingushed Name)的CN(Common Name)中使用*通配符,例如*.abc. ...
- 通配符 泛域名 linux,openssl签署自己的泛域名(通配符)证书
!!!! 火狐浏览器对多CN的通配符识别有问题,只识别第一个,所以建议用备用主机名(DNS)方式,.已测试有效 !!!! openssl自建CA默认签署的是单域名证书,因为单台服务器上有多个https ...
- 基于 OpenSSL 生成自签名证书,数字签名,泛域名证书,ca证书,PKI等
基于 OpenSSL 生成自签名证书_qhh0205-CSDN博客_openssl自签名证书 windows 下 nginx 双向认证自签名证书配置 windows 下 nginx 双向认证自签名证书 ...
- linux下利用openssl来实现证书的颁发(详细步骤)--转载和修改
原文地址:http://www.cnblogs.com/firtree/p/4028354.html linux下利用openssl来实现证书的颁发(详细步骤) 1.首先需要安装openssl,一个开 ...
- 【openssl】利用openssl完成X509证书和PFX证书之间的互转
利用openssl完成X509证书和PFX证书之间的互转 # OpenSSL的下载与安装: 1.下载地址: 官方网址-- https://www.openssl.org/source/ OpenSSL ...
- 使用 openssl 创建自签发证书,含 IP证书 及 泛域名证书
web里面需要使用ssl才能使用,所以需要使用域名证书: 1. 创建根证书 创建秘钥 openssl genrsa -out LocalRootCA.key 2048 生成证书并自签名,nodes是不 ...
- 证书详解及使用openssl生成自签证书与SAN多域名证书
证书 名词解释: PKI:公钥基础设施 CA:证书颁发机构 CRL:证书吊销列表 OCSP:在线证书状态协议 CSR:证书签名申请 证书生命周期: 证书类型 DV:域名验证,可信度最低,个人和初创公司 ...
- 利用openssl生成X509证书
利用openssl生成X509证书 1.生成密钥 openssl genrsa -out test.key 2048 2.生成cert证书(sha512/sha256/sha1要根据实际算法) ope ...
- python 指定证书验证_Python通过OpenSSL获取指定域名对应的SSL证书
同一台服务器上配置了不同的虚拟主机域名证书也可以获取到,直接上代码了: def get_certificate(hostname, port): import idna from socket imp ...
最新文章
- [导入]24小时第六季 剧情
- 新获融资1亿,聚焦全栈,云知声背后的AI下半场
- PADS LAYOUT的一般流程
- PMCAFF产品众测 | 对话随手攒CEO聊聊产品的设计、推广和改进
- 微信开发系列之八 - 微信公众号的地图集成
- 云原生开发框架dapr环境搭建:CLI安装和初始化
- 59.排序好的大数据创建索引文件,并实现大文件的二分查找,根据索引百万数据秒读数据...
- ##6.2 Neutron计算节点-- openstack pike
- onvif学习笔记5:onvif框架代码初步了解
- windows qt 使用openssl API
- 从20 年程序员老兵做到上市公司合伙人,怎么少踩坑?
- Maven 私服的简单使用
- 【React性能优化】 redux优化
- 【手把手教你如何从Tushare库下载股票数据,并保存在硬盘当中。第二篇下载存储数据】
- python 将QQ聊天记录生成词云图
- C学习的日志(随手记、随手写)
- WiFi 5:802.11ac 白皮书
- 常用机器视觉软件介绍
- linux 睡眠到硬盘,Linux 休眠原理与实现
- 百度地图 雷达/地理编码 功能使用