openssl给内网IP生成ca证书(ssl证书)
一、要使用 OpenSSL 为内网 IP 生成 CA 证书,您需要遵循以下步骤:
1、创建一个存放证书的文件夹
mkdir /opt/zhengshu注意:大家自己按照自己的目录创建就行,我的直接放在/opt目录下了。
2、生成私钥和证书请求
openssl req -newkey rsa:2048 -nodes -keyout ca.key -out ca.csr
注意:申请的时候会让大家填一些参数,下面是参数说明及示例:
字段 字段含义 示例
/C= Country 国家 CN
/ST= State or Province 省 beijing
/L= Location or City 城市 beijing
/O= Organization 组织或企业 stars-mine
/OU= Organization Unit 部门 stars-mine
/CN= Common Name 是证书拥有者名称 172.xx.xx.xx#下面这两个参数,大家直接回车跳过就行
A challenge password []:
An optional company name []:
3、自签署证书
openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
4、生成服务器证书
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
注意:这一步也会输入参数,要和上一次输入的保持一致
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
5、生成客户端证书
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
注意:这一步也会输入参数,要和前两次输入的保持一致
openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365
6、到此,所有证书就生成完毕
二、证书配置
1、配置示例(Apache):
<VirtualHost *:443>ServerName example.comSSLEngine onSSLCertificateFile /path/to/server.crtSSLCertificateKeyFile /path/to/server.keySSLCACertificateFile /path/to/ca.crt...
</VirtualHost>
2、配置示例(Nginx):
server {listen 80;listen 443 ssl;server_name 172.21.10.101;ssl_certificate /opt/server.crt;ssl_certificate_key /opt/server.key;if ($scheme = http) {return 301 https://$host$uri?$args;}#charset koi8-r;#access_log logs/host.access.log main;location / {#root html;#index index.html index.htm;proxy_pass http://172.xx.xx.xx:9000/xxx/xxx/;}error_page 500 502 503 504 /50x.html;location = /50x.html {root html;}}3、配置示例(Tomcat):
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"maxThreads="150" scheme="https" secure="true"keystoreFile="/path/to/server.keystore" keystorePass="password"truststoreFile="/path/to/ca.crt" truststorePass="password"clientAuth="true" sslProtocol="TLS"/>
注意:第一步的这些命令将生成一个名为 ca.crt 的 CA 证书,一个名为 server.crt 的服务器证书以及一个名为 client.crt 的客户端证书。您可以将这些证书分发给您的应用程序和客户端,以启用 SSL/TLS 加密。
三、常见问题处理
1、内网IP配置了SSL证书后,https无法访问
解决方法:查看服务器防火墙是否都关闭,一定要关闭防火墙
service iptables status
systemctl status firewalld
状态说明:
出现Active: active (running)切高亮显示则表示是启动状态。出现 Active: inactive (dead)灰色表示停止,看单词也行。openssl给内网IP生成ca证书(ssl证书)相关推荐
- openSSL命令、PKI、CA、SSL证书原理
相关学习资料 http://baike.baidu.com/view/7615.htm?fr=aladdin http://www.ibm.com/developerworks/cn/security ...
- 内网ip如何变成公网ip?快解析转换域名映射外网访问
内网IP只能在本地内部网络连接访问,当本地搭建服务器部署好相关网站或应用后,在局域网内可以通过内网IP访问,但在外网是无法直接访问异地内网IP端口应用的,只有公网IP才能实现外网访问.但公网IP已经成 ...
- Android 获取本地外网IP、内网IP、计算机名等信息
一.获取本地外网IP public static String GetNetIp() { URL infoUrl = null; InputStream inStream = null; try { ...
- 基于opencv第三方视觉库,通过内网IP调用手机摄像头,实现人脸识别与图形监测
1. 安装opencv视觉库 OpenCV 是一个开源的计算机视觉库,OpenCV 库用C语言和 C++ 语言编写,可以在 Windows.Linux.Mac OS X 等系统运行.同时也在积极开发 ...
- 公网域名如何解析到内网IP服务器——快解析域名映射外网访问
在本地搭建主机应用后,由于没有公网IP或没有公网路由权限,在需要发布互联网时,就需要用到外网访问内网的一些方案.由于内网IP在外网不能直接访问,通常就用通过外网域名来访问内网的方法.那么,公网域名如何 ...
- 如何实现外网访问内网ip?公网端口映射或内网映射来解决
本地搭建服务器应用,在局域网内可以访问,但在外网不能访问.如何实现外网访问内网ip?主要有两种方案:路由器端口映射和快解析内网映射.根据自己本地网络环境,结合是否有公网IP,是否有路由权限,设置让外网 ...
- 破解局域网限速 突破路由器限速 突破IP限速 突破内网IP限速 解决方案 v 2010.7.3
突破IP限速 突破内网IP限速 突破局域网限速 解决方案 突破路由器限速 突破局域网限速 突破adsl限速 突破内网限速 突破路由限速 突破网通限速 如何突破网吧限速 如何 ...
- 如何查看外网ip_内网ip和外网ip的联系以及连接过程
我们每天都会访问各种各样的网站,比如淘宝,百度等等.不免会思考,我们的设备是如何连接上这些网址的呢?要想搞清楚这个问题,首先就得先搞清楚内网ip和外网ip的联系. 一.网络结构 如图,假设我们的计算机 ...
- 推断给定的IP地址是否是内网IP
/*** 推断给定的IP地址是否是内网IP* * @author GaoHuanJie*/ public class Test{public boolean isInnerIP(String ipAd ...
最新文章
- laravel 发送带附件的邮件
- Ubuntu下架设FTP服务器(转)
- MySQL—视图(二)
- 配置Tomcat连接池
- 大数据WEB阶段(十三)JSP(一)JSP基础、JSP指令详解、四大域九大隐式对象总结
- [POI2007]POW-The Flood
- 谨防代理木马和怕米释放有毒程序
- Linux系统编程---6(信号的机制,信号4要素,Linu常规信号表,定时器)
- python 流式计算框架_流式计算的三种框架:Storm、Spark和Flink
- 澳网:公茂鑫/张择创历史 中国男网夺大满贯首胜
- 基于SSM的猫头鹰物流网站
- 基于OpenCV的人脸识别考勤系统——创业计划书
- 【C语言开源项目】盘点 GitHub 上不错的 4 个C语言项目
- 【学习笔记】Python办公自动化 - Task 01 文件自动化处理 邮件自动发送
- linux中的通配符指的是?
- 俄数学天才破解庞加莱猜想拒领百万奖金(图)
- 前端录屏工具开发--可用于工程化错误回放
- java 创建word文件_java基于feemarker 生成word文档(超级简单)
- INSTALL_FAILED_NO_MATCHING_ABIS 的解决办法
- 使用html5制作聊天室,快速实现H5聊天室和管理功能