如何使用OpenSSL生成带有SubjectAltName的自签名证书?

最新推荐文章于 2025-05-21 15:49:27 发布
转载 最新推荐文章于 2025-05-21 15:49:27 发布 · 1w 阅读 · 5

我试图生成一个自签名证书与OpenSSL with SubjectAltName in.While我生成证书的csr,我的猜测是我必须使用OpenSSL x509的v3扩展。
我在用 :

openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730

有人可以帮我确切的语法吗?

Can someone help me with the exact syntax?

它的三步过程,它涉及修改openssl.cnf文件。你可能能够使用命令行选项,但我不这样做。

找到你的openssl.cnf文件。它可能位于/usr/lib/ssl/openssl.cnf:

$ find /usr/lib -name openssl.cnf
/usr/lib/openssl.cnf
/usr/lib/openssh/openssl.cnf
/usr/lib/ssl/openssl.cnf

在我的Debian系统上,/usr/lib/ssl/openssl.cnf被内置的openssl程序使用。在最近的Debian系统上,它位于/etc/ssl/openssl.cnf

您可以通过向文件添加一个虚假的XXX来确定正在使用的openssl.cnf,并查看openssl chokes。

首先,修改req参数。添加一个alternate_names部分到openssl.cnf,使用您想要使用的名称。没有现有的alternate_names部分,因此您添加它的位置无关紧要。

[ alternate_names ]

DNS.1        = example.com
DNS.2        = www.example.com
DNS.3        = mail.example.com
DNS.4        = ftp.example.com

接下来,将以下内容添加到现有的[v3_ca]部分。搜索确切的字符串[v3_ca]:

subjectAltName      = @alternate_names

您可以在[v3_ca]下将keyUsage更改为以下内容:

keyUsage = digitalSignature, keyEncipherment

digitalSignature和keyEncipherment是服务器证书的标准。不要担心nonRepudiation。它的一个无用的位想到了谁想要成为律师的科学家。这在法律世界中没有意义。

最后,IETF(RFC 5280),浏览器和CA运行快速和松散,所以它可能不重要什么关键用法提供。

二,修改签名参数。在CA_default部分下找到此行:

# Extension copying option: use with caution.
# copy_extensions = copy

并将其更改为:

# Extension copying option: use with caution.
copy_extensions = copy

这确保SAN被复制到证书中。复制dns名称的其他方法被破坏。

第三,生成你的自签名:

$ openssl genrsa -out private.key 3072
$ openssl req -new -x509 -key private.key -sha256 -out certificate.pem -days 730
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
...

最后,检查证书:

$ openssl x509 -in certificate.pem -text -noout
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 9647297427330319047 (0x85e215e5869042c7)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/emailAddress=test@example.com
        Validity
            Not Before: Feb  1 05:23:05 2014 GMT
            Not After : Feb  1 05:23:05 2016 GMT
        Subject: C=US, ST=MD, L=Baltimore, O=Test CA, Limited, CN=Test CA/emailAddress=test@example.com
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (3072 bit)
                Modulus:
                    00:e2:e9:0e:9a:b8:52:d4:91:cf:ed:33:53:8e:35:
                    ...
                    d6:7d:ed:67:44:c3:65:38:5d:6c:94:e5:98:ab:8c:
                    72:1c:45:92:2c:88:a9:be:0b:f9
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Subject Key Identifier: 
                34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4
            X509v3 Authority Key Identifier: 
                keyid:34:66:39:7C:EC:8B:70:80:9E:6F:95:89:DB:B5:B9:B8:D8:F8:AF:A4

            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Key Usage: 
                Digital Signature, Non Repudiation, Key Encipherment, Certificate Sign
            X509v3 Subject Alternative Name: 
                DNS:example.com, DNS:www.example.com, DNS:mail.example.com, DNS:ftp.example.com
    Signature Algorithm: sha256WithRSAEncryption
         3b:28:fc:e3:b5:43:5a:d2:a0:b8:01:9b:fa:26:47:8e:5c:b7:
         ...
         71:21:b9:1f:fa:30:19:8b:be:d2:19:5a:84:6c:81:82:95:ef:
         8b:0a:bd:65:03:d1
http://stackoverflow.com/questions/21488845/how-can-i-generate-a-self-signed-certificate-with-subjectaltname-using-openssl


转载出处:如何使用OpenSSL生成带有SubjectAltName的自签名证书?

使用openssl生成自签名证书(多域名)用于https的ssl验证
liaomingwu的专栏
10-27 1372
有时在项目的开发环境和测试环境,并不能获得正式的证书,但是项目的开发和测试又需要证书来模拟生产环境下的安全配置,此时就可以采用自签名证书。而且我们希望我们的证书能够在开发环境和测试环境中完全正常的使用,不会出现各种证书无效的提示和警告。此时就可以参考这里的步骤进行配置。
使用OpenSSL生成多域名自签名证书
fansys的博客
04-12 2598
使用OpenSSL生成多域名自签名证书 证书生成过程介绍 证书的目的是建立特定密钥对与特定实体之间的联系。 自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书,证书的申请人和签发人都是同一个。 需要一对密钥对; 常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不能用DSA,只能用RSA,因为DSA不能加解密也不能做密钥交换,只能做签名;ECDSA还没有被大部分的CA支持; 证书认证请求文件(csr文件) 这是按照一定格式生成的文件,里面包含实体信息 将
【HTTPS】使用OpenSSL生成带有SubjectAltName自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展项的数字证书
henter的专栏
07-28 5864
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活中,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
使用 OpenSSL 构建自签名证书步骤详解
dotnet研习社
05-19 2343
本文详细介绍了如何使用 OpenSSL 生成自签名证书,适用于本地测试、内部服务通信等场景。文章从环境准备开始,逐步讲解了如何生成私钥、创建证书签名请求(CSR)、生成自签名证书,并提供了包含扩展信息(如 SAN)的证书生成方法。此外,还介绍了如何验证证书信息,并通过 Node.js 示例展示了如何在本地 HTTPS 服务中使用自签名证书。最后,文章总结了自签名证书的用途和局限性,并鼓励读者通过实践掌握 OpenSSL
certify:使用subjectAltName”扩展名创建自签名证书
06-19
证明 Certify 使用subjectAltName”扩展名创建并自签名 X.509 SSL/TLS 证书。 介绍 首先要做的事情是:如果您想要在面向公众的 https 网站上使用 SSL/TLS 证书,请前往并购买。 这是目前为访问者可靠地验证和加密网站的唯一方法。 网络公钥基础设施的实际安全性。 有些人甚至声称。 但在你只需要吞下它并付钱给大男孩来保护。 尽管如此,对于小型个人项目。 一旦您的浏览器拥有自签名证书的合法副本,您就可以通过加密的 TLS 连接安全地访问该网站。 由于政府控制根证书颁发机构,一些人甚至认为安全分发的自签名证书。 至少,自签名证书成功地避免了以明文形式发送密码。 使用openssl自签名 创建证书的标准工具是openssl命令行实用程序。 首先,您需要一个公钥/私钥对,您可以使用openssl genpkey或openssl genrsa创建它。 然后
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 3499
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
使用pyopenssl提取证书中的subjectAltName
村中少年的专栏
08-14 2646
本文介绍一下如何通过Python的pyopenssl模块解析证书的subjectAltName
openssl学习笔记】SSL Server Cert制作
千里之堤
04-24 1338
openssl req -new -x509 -keyout ca.pem -out ca.crt -config openssl.cfg openssl req -new -key server.pem -config openssl.cfg -out server.csr openssl ca -in server.csr -out server.crt -config openssl
使用OpenSSL生成带Application URI的自签名证书(适用于OPC UA)
最新发布
jiuyi2000的博客
05-21 764
本文介绍如何使用 OpenSSL 生成一个包含 Application URI 的自签名证书,适用于 OPC UA 等对证书字段有特殊要求的应用场景。
OpenSSL创建带SAN扩展的证书并进行CA自签
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN带来
uCA:uCA 是一个微型 CA,它使用 OpenSSL 允许您轻松创建具有多个 SubjectAltNames 的签名证书
05-31
加州大学 uCA 是一个微型 CA,它使用 OpenSSL 允许您轻松创建具有多个 SubjectAltNames 的签名证书 tl;博士 很小的 CA 可以让你做算法确定的 SubjectAltNames,它在 CoreOS 上运行得很好,以防万一,我不知道,你需要某种方式让一堆 Docker 容器相互安全地通信。 为什么 您是否尝试过使用 OpenSSL 的 CA 使用 SubjectAltNames 签署证书? 这是一个巨大的痛苦。 我想要做的就是创建自己的小型内部 PKI,这样我的应用程序就可以相互进行 SSL 相互验证。 他们需要相互信任,但不一定是其他任何事情。 但是,为了使事情易于扩展,我想使其能够拥有,例如,rmq1、rmq2 和 rmq3,并且所有这些都将提供一个证书,该证书也表明主机是 rmq。 . . . . . . . . . . . . . . . . . .
openssl.cnf_文件
01-18
使用openssl创建证书时,缺少 openssl.cnf文件,下载后放到显示缺少的目录中
自己作为CA签署SSL证书
uiop_uiop_uiop的博客
02-11 2317
为了解决ssl证书签名存在的问题。例如:申请免费ssl证书的时候没有办法再添加dns解析条目,vps没有进行域名备案,使得无法完成正规的ssl证书颁发。SSL自签名并不靠谱,很多浏览器也可能会不认可自签名证书。为了直接根除此问题,我们直接自己作为CA,利用自签名CA证书来签发需要的SSL证书。期间踩了不少坑,最终终于完成。 ssl.conf [ req ] default_bits = 4096 distinguished_name = req_distinguished_name r..
OpenSSL证书通过Subject Alternative Name扩展字段扩展证书支持的域名
weixin_31640385的博客
09-15 772
1、概述 1.1 什么是Subject Alternative Name(证书主体别名)   SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。它允许一个证书支持多个不同的域名。通过使用SAN字段,可以在一个证书中指定多个DNS名称(域名)、IP地址或其他类型的标识符,这样证书就可以同时用于多个不同的服务或主机上。这种灵活性意味着企业不需要...
Https配置自签名证书教程
九离的博客
08-14 8617
通常我们在开发项目的过程中,一般都是使用的http来进行测试;但当部分项目上线或和其他第三方对接时,需要用到https协议时,此时可能就会有部分和http不同的请求方式,为此我们需要在开发或测试环境部署一个https的协议环境,也就是所谓的给ng加上ssl验证;配置自签名证书通常用于开发、测试或在小型内部网络中部署安全的 HTTPS 服务。以下是如何创建并配置自签名证书的步骤,以便在 Web 服务器(例如 Nginx、Apache)上使用
x509-subjectAltName
liudong200618的博客
03-14 1389
x509
X.509 数字证书中的扩展项 subjectAltName
sky527759的博客
04-10 1139
介绍一下 X.509 数字证书中的扩展项 subjectAltName
介绍一下 X.509 数字证书中的扩展项 subjectAltName
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书和证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,I...
如何用openssl生成证书
03-11
<think>嗯,用户想了解如何用OpenSSL生成证书。首先,我需要回忆一下OpenSSL的基本用法和相关命令。记得OpenSSL可以用来生成私钥、证书签名请求(CSR)以及自签名证书。不过具体步骤可能得一步步来。 首先,用户可能需要生成一个私钥。通常用RSA算法的话,命令应该是openssl genpkey或者openssl genrsa。不过不同版本的OpenSSL可能命令有所区别。比如,旧版本可能用genrsa,而新版本推荐用genpkey。这里得确认正确的参数,比如算法、密钥长度、输出文件等。 然后,生成CSR的时候需要用到私钥,并且需要填写一些信息,比如国家、省份、组织名称等。这里可能需要用户交互式输入,或者使用-subj参数来指定主题,避免交互。需要注意-subj的格式是否正确,比如用斜杠分隔各个字段。 接下来,如果是自签名证书,可以直接用私钥生成自签名的证书,而不用经过CA。这时候需要指定有效期、扩展用途等。比如,服务器证书可能需要设置subjectAltName,特别是如果用于本地开发,可能需要包含DNS名称或IP地址。 另外,用户可能需要了解如何验证生成的证书和CSR,比如用openssl x509或openssl req命令查看内容,确保信息正确。 可能还需要考虑不同的用例,比如测试环境用自签名证书,而生产环境可能需要通过CSR向公共CA申请签名。这时候生成的CSR需要提交给CA,然后获取签发的证书。 需要注意用户是否有特定需求,比如密钥类型(RSA、ECC)、密钥长度、证书有效期等。如果没有特别说明,默认参数可能就够用了,但最好在步骤中提及这些可配置的选项,让用户知道可以调整。 还有,在生成自签名证书的时候,是否需要添加扩展项?比如v3扩展,设置密钥用途为服务器认证,或者添加主题备用名称。这可能对于现代浏览器来说很重要,否则证书可能不被信任。 另外,常见问题可能包括权限问题,生成的私钥需要设置合适的权限保护,比如600模式。还有,证书格式是否正确,是否需要转换为其他格式(如PEM、DER等),但用户的问题可能暂时不需要涉及这些。 总结步骤应该是:生成私钥 -> 生成CSR(可选)-> 生成自签名证书或通过CA签发。根据用户需求,分两种情况:自签名和CSR申请。需要详细说明每个步骤的命令和参数,确保用户能正确执行。 另外,需要提醒用户注意安全,私钥必须保密,不能泄露。在生成过程中,如果需要密码保护私钥,可以使用加密选项,但可能会增加复杂度,用户可能需要权衡便利性和安全性。 可能还需要给出示例命令,让用户可以直接复制粘贴,替换自己的参数。比如替换域名、组织名称等。同时,验证生成的证书是否正确,如何用OpenSSL命令查看证书内容。 最后,检查是否有遗漏的步骤,比如在生成CSR后,如何提交给CA,这部分可能不需要详细说明,但可以提及。重点放在用户自己生成证书的过程,特别是自签名的情况,因为这是常见需求,比如用于测试HTTPS服务器。</think>好的,下面分步骤介绍用 OpenSSL 生成证书的流程,包含自签名证书和通过证书签名请求(CSR)申请的证书两种场景: --- ### **一、生成自签名证书(用于测试)** #### **1. 生成私钥** ```bash openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048 ``` - 说明:生成 2048 位的 RSA 私钥,保存为 `private.key`。 #### **2. 直接生成自签名证书** ```bash openssl req -new -x509 -key private.key -out certificate.crt -days 365 ``` - 按提示输入证书信息(国家、省份、组织等)。 - `-days 365` 表示有效期 1 年,可自定义。 #### **3. 验证证书** ```bash openssl x509 -in certificate.crt -text -noout ``` --- ### **二、通过 CSR 申请证书(需 CA 签名)** #### **1. 生成私钥(同上)** ```bash openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048 ``` #### **2. 生成证书签名请求(CSR)** ```bash openssl req -new -key private.key -out request.csr ``` - 按提示填写证书信息(需与最终域名匹配)。 #### **3. 提交 CSR 到 CA** - 将 `request.csr` 发送给证书颁发机构(如 Let's Encrypt、DigiCert 等)。 - CA 会返回签名后的证书(如 `signed.crt`)。 #### **4. 验证 CSR** ```bash openssl req -in request.csr -text -noout ``` --- ### **三、高级用法** #### **1. 生成带 SAN 的证书(适用于多域名/IP)** 创建配置文件 `san.cnf`: ```ini [req] distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = CN stateOrProvinceName = Beijing organizationName = MyOrg [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com IP.1 = 192.168.1.1 ``` 生成命令: ```bash openssl req -new -x509 -key private.key -out certificate.crt -days 365 -config san.cnf ``` #### **2. 生成 ECC 私钥(更高效)** ```bash openssl genpkey -algorithm EC -out ecc.key -pkeyopt ec_paramgen_curve:P-256 ``` --- ### **四、注意事项** 1. **私钥安全**:私钥文件(如 `.key`)必须严格保密。 2. **有效期**:自签名证书需定期更新,生产环境建议使用 CA 签发。 3. **兼容性**:若需浏览器信任,需通过公共 CA 申请证书。 有问题可提供具体场景,我会进一步补充细节!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值