OpenSSL制作自签名V3证书

本文以制作指定ip（200.4.170.132）证书为例，其他ip或域名请自行更换。

1、创建根证书私钥

openssl genrsa -out RootCA.key 1024

2、创建根证书请求文件(CSR - Certificate Signing Request )

openssl req -subj "/C=CN/ST=Beijing/L=Beijing/O=lazyOrg/OU=lazyOrg/CN=root/emailAddress=afei@lazy.com"  -new -out RootCA.csr -key RootCA.key -keyform PEM

CN：姓名；
OU：组织单位名称；
O：组织名称；
L：市/自治区名称；
ST: 省份
C：国家/地区代码

一定要注意：
1、根证书的CN字段和客户端证书、服务器端证书不能一样。
2、其他所有字段的填写，根证书、服务器端证书、客户端证书需保持一致。
3、根证书的Common Name填写root就可以，所有客户端和服务器端的证书这个字段需要填写域名。

3、自签根证书（可以是 pem、cer）

#CER
openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in RootCA.csr -out RootCA.cer -signkey RootCA.key -CAcreateserial -days 3650#PEM
openssl x509 -req   -extfile /etc/pki/tls/openssl.cnf -extensions v3_req  -in RootCA.csr -out RootCA.pem -signkey RootCA.key -CAcreateserial -days 3650

4、创建v3.ext、server.csr.cfg文件

v3.ext

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names[alt_names]
DNS.1 = 200.4.170.132

server.csr.cfg

[req]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn[dn]
C=CN
ST=Beijing
L=Beijing
O=lazyOrg
OU=lazyOrg
emailAddress=afei@lazy.com
CN=200.4.170.132

6、自签名客户端证书

openssl req -new -sha256 -nodes -out client.csr -newkey rsa:2048 -keyout client.key -config <(cat server.csr.cfg)#pem
openssl x509 -req -in client.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out client.pem -days 500 -sha256 -extfile v3.ext#p12
openssl pkcs12 -export -clcerts -in client.pem -inkey client.key -out client.p12

8、自签名服务端证书（创建证书密钥server.key；以存储有 localhost 的配置 server.csr.cnf 进行设置）

openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key -config <(cat server.csr.cfg)#crt
openssl x509 -req -in server.csr -CA RootCA.cer -CAkey RootCA.key -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext#pem
openssl x509 -req -in server.csr -CA RootCA.pem -CAkey RootCA.key -CAcreateserial -out server.pem -days 500 -sha256 -extfile v3.ext#p12
openssl pkcs12 -export -in server.pem -inkey server.key -out server.p12 -passout pass:123456

9、生成JKS密钥库文件（用于TongWeb、Tomcat等）

keytool -importkeystore -srckeystore server.p12 -srcstoretype PKCS12 -destkeystore server.keystore.jks \-srcstorepass 123456 -deststorepass 123456#导入证书 (CA要加到秘钥库中！)
keytool -keystore server.keystore.jks -alias root_pem -import -file RootCA.pem
keytool -keystore server.keystore.jks -alias server_pem -import -file server.pem

总览：

OVER.

OpenSSL制作自签名V3证书相关推荐

用OpenSSL做自签名的证书(by quqi99)
作者:张华发表于:2014-04-18 版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本版权声明 (http://blog.csdn.net/quqi99 ) 注:cs ...
使用OpenSSL创建自签名SSL证书
近期的工作中遇到了数据传输加密的需求,就是在数据传输安全层面都要求使用https协议,因此为Web站点安装SSL证书就成了必须,以下就过程记录. 1.需求及选型需求有两条: 支持内网IP地址我们很 ...
Ubuntu18.04 使用 openssl制作自签名证书
执行"openssl verison",判断系统是否已安装openssl,若没有安装,请使用apt安装openssl. 一.图解自签名过程二.关于 CRT PEM KEY CST ...
ios上架图片在线制作_ios签名企业证书
ios签名企业证书 zxnjfh ios签名企业证书然后是评论,其实跟一样,评论也会影响,一个在应用市场上的一些排名情况,他影响因素会很多,除了评论,他会受量的影响,受评论的影响,所以有的,安卓这边 ...
Linux 使用openssl创建自签名SSL证书
1,创建一个目录ssl,进入目录 2,执行openssl genrsa -des3 -out ca.key 2048 要求输入密码,要记住该密码后面需要用,在使用证书的地方也需要用 3,执行opens ...
使用OpenSSL生成自己服务器的证书
之前做实验的时候,曾经写过一篇博客,如何使用OpenSSL创建证书.这里再做一个整理,增加一些内容,精简一部分内容. 参考链接 OpenSSL Certificate Authoirty 信安实践-- ...
如何使用Openssl 制作CA证书
一.SSL协议百科名片 SSL是Secure Socket Layer(安全套接层协议),可以在Internet上提供秘密性传输.Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标 ...
基于 OpenSSL 生成自签名证书，数字签名，泛域名证书，ca证书，PKI等
基于 OpenSSL 生成自签名证书_qhh0205-CSDN博客_openssl自签名证书 windows 下 nginx 双向认证自签名证书配置 windows 下 nginx 双向认证自签名证书 ...
使用openssl制作https的证书
1.前言现在的web应用对安全越来越重视了,很多应用必须采用https来传输数据.但是https必须要有证书,在开发和测试环境一般我们在没条件采用ca签发的可信证书的情况下,我们可以使用openss ...
Openssl生成自签名证书并导入浏览器脚本
Openssl生成自签名证书并导入浏览器使用说明 1. 准备工作 2. 脚本 3. 导入浏览器 4. 使用证书使用说明环境:Centos 7 运行脚本后可以生成根证书.自签名证书(可以指定域名或 ...

OpenSSL制作自签名V3证书

OpenSSL制作自签名V3证书相关推荐

最新文章

热门文章