OpenSSL生成https服务器端数字证书

最新推荐文章于 2025-05-06 11:32:41 发布
最新推荐文章于 2025-05-06 11:32:41 发布
阅读量2.6k 收藏 8
点赞数
CC 4.0 BY-SA版权
文章标签: tomcat https openssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Nicholas_Lin/article/details/78874355

1. 下载安装OpenSSL

可以从OpenSSL官网下载源码编译,也可以直接下载安装文件,地址:
http://download.youkuaiyun.com/download/nicholas_lin/10169024

//20180125修改

注意:使用这个安装包后我经常出现蓝屏错误,昨天卸载后暂时正常。

srv.sys

PAGE_FAULT_IN_NONPAGED_AREA

2. 配置OpenSSL

打开bin/openssl.cfg文件,修改以下内容:

 
# 使用安装包的需要修改dir
[ CA_default ]
dir		= ./PEM/demoCA		# Where everything is kept

# 确保req下存在以下2行(默认第一行是有的,第2行被注释了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req

# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName			= Country Name (2 letter code)
countryName_default		= CN
countryName_min			= 2
countryName_max			= 2
stateOrProvinceName		= State or Province Name (full name)
stateOrProvinceName_default	= Fujian

localityName			= Locality Name (eg, city)
localityName_default = FuZhou

organizationName		= Organization Name (eg, company)
organizationName_default	= Some Company Co., Ltd

# we can do this but it is not needed normally :-)
#1.organizationName		= Second Organization Name (eg, company)
#1.organizationName_default	= World Wide Web Pty Ltd

organizationalUnitName		= Organizational Unit Name (eg, section)
organizationalUnitName_default	= Some department

commonName			= Common Name (e.g. server FQDN or YOUR name)
commonName_max			= 64

emailAddress			= Email Address
emailAddress_max		= 64

# 新增最后一行内容 subjectAltName = @alt_names(前2行默认存在)
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

# 新增 alt_names,注意括号前后的空格,DNS.x 的数量可以自己加
[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
IP.1 = 127.0.0.1
IP.2 = 188.188.188.188

//20180118修改

注意: 客户端是Win7时,如果SAN中既配置了DNS又配置了IP,则只有DNS生效。客户端是Win10没有问题。

3. 生成自签名CA证书

命令行定位到bin目录,输入
openssl

生成CA密钥对
OpenSSL> genrsa -out ./demoCA/cakey.pem 2048

自签名CA生成根证书
OpenSSL> req -new -x509 -key ./demoCA/cakey.pem -out ./demoCA/cacert.pem -config openssl.cfg -days 730

导出CA根证书为DER格式
OpenSSL> x509 -outform der -in ./demoCA/cacert.pem -out ./demoCA/cacert.der

4. 生成服务器端证书


生成服务器端密钥对
OpenSSL> genrsa -out ./demoCA/server.key 2048

生成PKCS证书签名请求(请求中会包含alt_names的内容)
OpenSSL> req -new -key ./demoCA/server.key -out ./demoCA/server.csr -config openssl.cfg

签发服务器端证书
OpenSSL> ca -in ./demoCA/server.csr -out ./demoCA/server.crt -cert ./demoCA/cacert.pem -keyfile ./demoCA/cakey.pem -extensions v3_req -days 730 -config openssl.cfg

导出服务器端证书和密钥
OpenSSL> pkcs12 -export -in ./demoCA/server.crt -inkey ./demoCA/server.key -out ./demoCA/server.pfx

5. 导出服务器端证书库供Tomcat使用


打开命令行

导入根证书
CMD> keytool -importcert -v -file ./demoCA/cacert.pem -keystore ./demoCA/server.keystore

导入服务器端证书和密钥
CMD> keytool -importkeystore -v -srckeystore ./demoCA/server.pfx -srcstoretype PKCS12 -destkeystore ./demoCA/server.keystore

6. 配置Tomcat


/conf/server.xml
 
   <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocol="TLS" keystoreFile="/conf/server.keystore" keystorePass="12345678"
			   truststoreFile="/conf/server.keystore" truststorePass="12345678" />

7. 参考文章

使用openssl为ssl证书增加“使用者备用名称(DNS)

林二棍子
关注
测试环境:使用OpenSSL生成证书并配置Https
liao3399084的博客
07-06 4800
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成的证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
【201】openssl生成服务端和客户端证书详解
小麦粒的Python
02-26 5847
内容目录(原文见公众号python宝)一、基本知识点介绍二、openssl生成服务端和客户端证书www.xmmup.com一、基本知识点介绍  要支持https请求,那就需要一个SSL证书...
openssl生成https证书
lionzl的专栏
07-22 1235
openssl生成https证书1.首先要生成服务器端的私钥(key文件):openssl genrsa -des3 -out server.key 1024运行时会提示输入密码,此密码用于加密key文件去除key文件口令的命令:openssl rsa -in server.key -out server.key2.openssl req -new -key server.key -out
openssl 生成自签名证书实现接口支持https
最新发布
LB_bei的博客
05-06 940
openssl 的目录(D:\tools\openssl\bin)添加到 path 中。将生成的 jks 文件放到 Java 服务的 src/resources中。在yml配置中配置(这里面的 luobei 替换成你的密码)找一个存证书的目录打开powershell。
使用OpenSSL生成自己服务器的证书
Black coder
11-29 2185
OpenSSL」使用OpenSSL生成自己服务器的证书
Windows使用OpenSSL生成Https证书
qq_15000459的博客
02-01 1564
下载OpenSSL的Windows版本,这个官网是没有下。 http://slproweb.com/download/Win64OpenSSL_Light-1_1_1i.exe 下载安装完成之后,需要配置环境变量。配置在系统变量的Path里面,配置的地址是OpenSSL的安装路径的bin文件夹。 然后可以尝试着用cmd或者Windows Power Shell 执行一下openssl 。执行成功即可。 接下来可以开始准备生成证书。用管理员模式启动cmd或者Windows Power Sh..
【笔记】一条命令使用 openssl 生成服务器证书
永远相信美好的事情即将发生
06-21 885
我们在请求 https 网址的时候,服务器会将自己的服务器证书发送到客户端以客户端去验证,客户端会拿自己本地的 CA 证书去验证服务器证书是通过该CA颁发的,如果是则身份认证通过。如果本地的CA无法验证服务器发来的证书时则会提示不安全或者拒绝连接。在生成 CSR(证书签名请求文件) 后,就可以将这个文件提交到 CA 机构,由 CA 机构生成对应的证书,CA 机构会验证 CSR 中的信息,在确认信息可信后,会使用自己的私钥对其中的信息进行数字签名后生成实际的服务器证书。
Openssl数字证书
11-21
#### 五、使用OpenSSL签发客户端、服务器端数字证书 OpenSSL是一个强大的工具集,用于处理SSL/TLS协议以及其他与安全相关的任务。下面简要介绍如何使用OpenSSL生成客户端和服务器端数字证书: 1. **生成私钥**...
openSSL生成证书以及在tomcat下的配置
05-21
在Web应用程序中,openSSL广泛应用于生成数字证书和私钥,从而确保数据的安全传输。今天,我们将详细介绍如何使用openSSL生成证书以及在tomcat下的配置。 一、生成服务器端私钥 在生成证书之前,我们首先需要生成...
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 4613
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书及证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
SSL/TLS 介绍以及如何利用openssl生成证书
m0_58085501的博客
02-28 3543
TLS:Transport layer Security 传输层安全性,是一种加密协议。本文比较详细的介绍了TLS的基本工作流程。
免费openssl 生成ssl证书[ssl证书生成]
08-03
NULL 博文链接:https://nassir.iteye.com/blog/1983613
NO2.使用openssl生成服务器证书和服务器私钥
u011267657的博客
11-05 389
一、为了方便,进入openssl.cnf所在的目录  /usr/local/openssl/ssl        cd /usr/local/openssl/ssl        建立目录结构,如果不进行以下操作一会生成证书会报错。        mkdir -p ./demoCA/{private,newcerts}        touch ./demoCA/index.txt ...
openssl生成https证书 (转)
fryingpan的专栏
10-20 703
1.首先要生成服务器端的私钥(key文件): openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件 去除key文件口令的命令: openssl rsa -in server.key -out server.key 2.openssl req -new -key server.key -out serve
https证书生成openssl
zhx86890057的博客
05-07 530
第一步,为服务器端和客户端准备公钥、私钥# 生成服务器端私钥openssl genrsa -out server.key 1024# 生成服务器端公钥openssl rsa -in server.key -pubout -out server.pem # 生成客户端私钥openssl genrsa -out client.key 1024# 生成客户端公钥openssl rsa -in clien...
https - 2、生成服务端证书
weixin_43843908的博客
05-07 444
https 第二步 生成服务端证书
使用openssl生成https证书
lxlmycsdnfree的博客
04-28 1355
这可能是默认的生成目录,所以需要提前创建好。
使用OpenSSL生成证书并配置Https
diyu7773的博客
03-16 538
1、密钥、证书请求、证书概要说明 在证书申请签发过程中,客户端涉及到密钥、证书请求、证书这几个概念。我们以申请证书的流程说明三者的关系。客户端(相对于CA)在申请证书的时候,大体上有三个步骤: 第一步:生成客户端的密钥,即客户端的公私钥对,且要保证私钥只有客户端自己拥有。 第二步:以客户端的密钥和客户端自身的信息(国家、机构、域名、邮箱等)为输入,生成证书请求文件。其中客户...
openssl自签https证书
caperxi的博客
05-19 475
自签发https证书 1、https实现原理 2、使用场景 在本地开发过程中,需要调用浏览器的隐私权限(定位,摄像头,麦克风等)时或者开发PWA应用时,必须要使用https的协议。在不受域的限制时使用localhost也能直接调用。在微信开发中也需要用https才能调用相关接口。 3、操作步骤 1)通过openssl生成私钥 openssl genrsa -out server.key 1024 2)根据私钥生成证书申请文件csr openssl req -new -key server.key -out
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值