OpenSSL自建CA和颁发SSL证书
系统环境:
Ubuntu 18.10
OpenSSL 1.1.1 11 Sep 2018
一:自建CA
1:依次创建如下目录
mkdir -p /opt/ca/root
mkdir /opt/ca/root/key
2:vim /opt/ca/root/openssl.cnf
[ ca ]
default_ca = CA_default[ CA_default ]
dir = /opt/ca/root
certs = $dir/certs
crl_dir = $dir/crl
database = $dir/index.txt
new_certs_dir = $dir/newcerts
certificate = $dir/key/cacert.crt
serial = $dir/serial
crlnumber = $dir/crlnumber
crl = $dir/crl.pem
private_key = $dir/key/cakey.pem
RANDFILE = $dir/key/.rand
unique_subject = nox509_extensions = usr_cert
copy_extensions = copyname_opt = ca_default
cert_opt = ca_defaultdefault_days = 365
default_crl_days= 30
default_md = sha256
preserve = no
policy = policy_ca[ policy_ca ]
countryName = supplied
stateOrProvinceName = supplied
organizationName = supplied
organizationalUnitName = supplied
commonName = supplied
emailAddress = optional[ req ]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
attributes = req_attributes
x509_extensions = v3_ca
string_mask = utf8only
utf8 = yes
prompt = no[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = beijing
localityName = beijing
organizationName = Global Google CA Inc
organizationalUnitName = Root CA
commonName = Global Google Root CA[ usr_cert ]
basicConstraints = CA:TRUE[ v3_ca ]
basicConstraints = CA:TRUE[ req_attributes ]3:创建如下目录及文件
mkdir /opt/ca/root/newcerts
touch /opt/ca/root/index.txt
touch /opt/ca/root/index.txt.attr
echo 01 > /opt/ca/root/serial
4:创建CA私钥
openssl genrsa -out /opt/ca/root/key/cakey.pem 2048
5:生成CA证书请求文件
openssl req -new -key /opt/ca/root/key/cakey.pem -out /opt/ca/root/key/ca.csr -config /opt/ca/root/openssl.cnf
6:自签名
openssl ca -selfsign -in /opt/ca/root/key/ca.csr -out /opt/ca/root/key/cacert.crt -config /opt/ca/root/openssl.cnf
7:修改/opt/ca/root/openssl.cnf配置,把
[ usr_cert ]
basicConstraints = CA:TRUE
修改为
[ usr_cert ]
basicConstraints = CA:FALSE
CA:TRUE代表的是签发的是CA机构(自己是CA机构),CA:FALSE代表的是签发的是证书(改成false就不能去签发其他CA)
经过以上7个步骤,就成功创建了CA私钥及CA证书。有了这些就可以去签发其他的证书请求了
二:使用自建CA签名证书
1:mkdir /opt/ca/taobao
2:vim /opt/ca/taobao/openssl.cnf
[ req ]
prompt = no
distinguished_name = server_distinguished_name
req_extensions = req_ext
x509_extensions = v3_req
attributes = req_attributes
string_mask = utf8only
utf8 = yes[ server_distinguished_name ]
commonName = taobao2018.cn
stateOrProvinceName = guangzhou
countryName = CN
organizationName = 广州我要淘科技有限公司
organizationalUnitName = IT[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment[ req_attributes ][ req_ext ]
subjectAltName = @alternate_names[ alternate_names ]
DNS.1 = taobao2018.cn
DNS.2 = bbs.taobao2018.cn
DNS.3 = taobao2019.cn3:生成网站私钥
openssl genrsa -out /opt/ca/taobao/privkey.pem 2048
4:生成证书请求文件(csr文件)
openssl req -new -key /opt/ca/taobao/privkey.pem -out /opt/ca/taobao/taobao.csr -config /opt/ca/taobao/openssl.cnf
5:使用自建CA进行签发证书
openssl ca -in /opt/ca/taobao/taobao.csr -out /opt/ca/taobao/taobao.crt -config /opt/ca/root/openssl.cnf
6:查看证书信息(可选)
openssl x509 -text -in /opt/ca/taobao/taobao.crt
经过以上几个步骤,就生成了由自建CA签发的证书了
三:配置nginx的ssl
server {listen 443 ssl;server_name taobao2018.cn bbs.taobao2018.cn taobao2019.cn;ssl_certificate /opt/ca/taobao/taobao.crt;ssl_certificate_key /opt/ca/taobao/privkey.pem;ssl_session_cache shared:SSL:1m;ssl_session_timeout 5m;ssl_ciphers HIGH:!aNULL:!MD5;ssl_prefer_server_ciphers on;location / {root html;index index.html index.htm;}
}保存配置文件之后,启动nginx
四:导入自建CA的证书(根证书)
这里以Firefox为例,打开:选项 -> 隐私与安全 -> 查看证书,在证书颁发机构里面选择导入,
选择文件 /opt/ca/root/key/cacert.crt 导入并勾选2个信任的复选框
五:配置hosts
192.168.133.134 taobao2018.cn
192.168.133.134 bbs.taobao2018.cn
192.168.133.134 taobao2019.cn最后,使用https方式访问上面的三个url中的任意一个均可
访问之后,也可以在Firefox上查看证书
注意:
1:证书的x509信息如:stateOrProvinceName、organizationalUnitName已经在openssl.cnf配置文件中指定了,所以在生成证书请求文件的时候,不需要再输入了
2:证书请求文件里面的commonName,只需要填写主要的域名就可以了,其他的域名(包括主域名)必须要在openssl.cnf配置文件的subjectAltName属性中指定,否则浏览器会报不安全警告。本例子中展示了证书支持3个域名,所以这3个域名都要配置在subjectAltName属性中
OpenSSL自建CA和颁发SSL证书相关推荐
- 基于OpenSSL自建CA和颁发SSL证书
关于SSL/TLS介绍见文章 SSL/TLS原理详解. 关于证书授权中心CA以及数字证书等概念,请移步 OpenSSL 与 SSL 数字证书概念贴 . openssl是一个开源程序的套件.这个套件有三 ...
- openssl 自建ca,颁发客户端证书
openssl 自建ca,颁发客户端证书 概念理解 数字证书: 数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而 ...
- OpenSSL自建CA和签发二级CA及颁发SSL证书
自己签发CA证书再签发服务器证书的场景非常简单.把根CA证书导入到浏览器后,就可以信任由这个根CA直接签发的服务器证书. 但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如 像百度这种,网站使 ...
- centos7搭建CA服务器颁发ssl证书
2019年12月16日 星期一 CQCEE 使用ssl来保证web通信安全 apache服务器与客户机采用明文通信 对HTTP传输加密的协议为HTTPS,是通过ssl进行http传输的协议,它通过公用 ...
- 自建CA给内部网站颁发SSL证书
Windows Server - 建设篇 第二章 自建CA给内部网站颁发SSL证书 Windows Server - 建设篇 系列文章回顾 下章内容 前言 实施步骤 Openssl申请证书签发请求(带 ...
- nginx--基于openssl自颁发SSL证书实现HTTPS协议安全访问网站
学习背景 大家在nginx安装(nginx安装教程)后,启动nginx,访问静态页面时,一般都是直接通过HTTP协议进行访问页面,如下图所示: 但实际应用中,有很多网站基于安全方面上的考虑,都有自己的 ...
- 互联网协议 — TLS — 使用 OpenSSL 自建 CA 中心
目录 文章目录 目录 使用 OpenSSL 自建 CA 并签发证书 示例 Step 1. 搭建 CA 中心 Step 2. 生成 CA 的 RSA 私钥 Step 3. 生成 CA 的公钥(CA 证书 ...
- openssl 自建CA签发证书 网站https的ssl通信
<<COMMENT X509 文件扩展名 首先我们要理解文件的扩展名代表什么.DER.PEM.CRT和CER这些扩展名经常令人困惑. 很多人错误地认为这些扩展名可以互相代替.尽管的确有时候 ...
- ca 自建 颁发证书_openssl自建CA后颁发证书
一 自签证书实践 在介绍颁发证书之前先做一个试验,用自签证书来通过chrome访问: 1 通过openssl一键自签证书,生成证书和私钥: sudo openssl req -x509 -nodes ...
- 利用openssl自建ca并且使apache2用自建的ca证书进行https链接(自用,,,
参考了信安实践--自建CA证书搭建https服务器 - LiBaoquan - 博客园 (cnblogs.com) 加一些关于apache的命令: sudo systemctl start apach ...
最新文章
- swift 语言 linux,苹果发布Swift 2.2编程语言:支持Ubuntu Linux系统
- 镜像浏览器_Docker 企业级私有镜像仓库 Harbor 部署
- 【译】What do machine learning practitioners actually do?
- C/C++之学习笔记
- 十大经典排序算法之快速排序及其优化
- iOS - Masonry自动布局
- html教程padding,HTML CSS——margin和padding的学习
- mac下编译curl库(处理https的问题)
- 3dm下载的都是linux游戏,3DM的游戏怎么下载和安装(没智商的小白用户)
- 解决 VS2008安装过程更改路径的问题
- 如何在 CSS 中将表格居中?
- 初步探索C++深浅拷贝
- cesium获取模型实时坐标_cesium获取坐标及高程
- 影视剧作中的经典桥段部分
- 关于KEIL5最新版没有ATMEL(含89C51芯片)的情况
- 实验三 交互式绘制多边形
- 计算机二级请假条,请假条的范文标准版
- LaTeX中绘制分块矩阵(矩阵中绘制横竖线)
- 程序员翻车时的 30 种常见反应!
- Edge浏览器默认主页被莫名修改,修复流程分享