openssl 生成多级X.509 v3 ECC公钥证书链完整示例

原创 已于 2022-03-03 01:10:58 修改 · 2.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#pki #openssl

于 2022-02-28 00:54:44 首次发布
本文档详细介绍了如何使用OpenSSL工具生成ECC(椭圆曲线加密)根证书、次级CA证书以及应用证书的完整流程。涉及的操作包括生成ECC密钥对、创建CSR请求、自签名证书以及使用次级CA签发证书。同时,展示了查看ECC密钥参数的方法。整个过程对于理解SSL证书的签发和验证过程至关重要。

工具版本

本示例使用的openssl版本:LibreSSL 2.8.3

操作步骤

1. 生成ECC根密钥对,自签名生成根证书。命令中的openssl.cnf 用于证书版本及证书扩展,文件具体内容请参考文末的链接3。

# 生成根CA公钥
openssl ecparam -out EccRootCA.key -name prime256v1 -genkey

# 生成证书CSR请求
openssl req \
-subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=root.test.com/emailAddress=root@test.com" \   
-new \
-key EccRootCA.key \
-out EccRootCA.csr

# 用根私钥签名CSR请求,生成自签名公钥证书
openssl x509 \
-req \
-days 365 \
-in EccRootCA.csr \
-signkey EccRootCA.key \
-sha256 \
-extfile openssl.cnf -extensions v3_ca \
-out EccRootCA.crt

2. 生成ECC 次级CA密钥对,用根CA签发次级CA证书。注意CSR请求中的CN(Common Name)不能与给它签发证书的CA的一样。

# 生成次级CA ECC密钥对
openssl ecparam -out Ecc2ndCA.key -name prime256v1 -genkey

# 生成证书CSR请求
openssl req \
-subj "/C=CN/ST=Shenzhen/L=Guangdong/O=Test Ltd/OU=Software Department/CN=2nd.test.com/emailAddress=2nd@test.com" \
-new \
-key Ecc2ndCA.key \
-out Ecc2ndCA
最低0.47元/天 解锁文章
openssl制作ECC证书详解
qq_31539845的博客
12-05 3745
openssl制作ecc证书
OpenSSL多级证书的实践
qq_41867263的博客
01-30 2208
简介 证书颁发机构(CA)是签署数字证书的实体。网站需要让客户知道连接的安全的,他们需要向国际信任的CA支付签署其域名证书的费用。 创建根证书 CA处理加密的私钥和公共证书。一般CA不直接签署服务器或者客户端的证书。根CA仅用于创建一个或者多个中间CA,根CA信任中间CA,由中间CA代表其签署证书。这保证跟密钥的脱机和未使用,因为根密钥的任何损害都是灾难性的。 创建根证书的步骤如下所示 准备...
3分钟搞懂证书链:从浏览器警告到中间证书的构建与验证
最新发布
gitblog_00776的博客
10-02 819
当你访问网站时遇到"证书不受信任"的警告,90%是证书链(Certificate Chain)配置错误导致。本文将通过OpenSSL实战案,详解中间证书(Intermediate Certificate)在构建可信证书链中的核心作用,以及如何通过3个关键步骤完成验证。 ## 一、证书链:为什么需要中间证书? SSL/TLS证书采用层级信任模型,从根证书(Root Certificate)到终...
Java 生成X.509 V3证书
Cloud-Future的博客
10-24 6447
Java 生成 X509 V3证书 使用Java 语言生成 X.509 V3证书 pem格式证书生成 使用Java 语言生成 X.509 V3 pem格式证书
证书生成_Openssl 生成ECC证书及密钥
weixin_36155081的博客
01-11 836
前面一期介绍了windows下安装Openssl的方法。在此基础上,本期介绍利用openssl指令生成CA证书的方法,我们暂定CA名称为BJ2020,证书签名算法为ECDSA,待生成证书中的信息为下述内容:国家:CN所在省份:BeiJing所在区域:HaiDian生成证书的指令如下所述:步骤一:生成CA密钥对openssl ecparam -out BJ2020.key -name prime25...
使用openssl命令制作ecc证书
weixin_34294649的博客
04-04 274
2019独角兽企业重金招聘Python工程师标准>>> ...
ESP32集成PKI体系全记录:资源受限环境下X.509证书机制部署的4大挑战与解法
传统PKI体系基于X.509证书实现身份绑定与加密通信,但其高资源消耗与ESP32的有限内存、算力形成尖锐矛盾。如何在保障安全性的同时,实现证书的轻量化存储、高效解析与动态管理,成为制约安全落地的关键瓶颈。本章将...
设备身份认证体系构建:基于X.509证书与一机一密的7步实施方案
为此,主流技术路线聚焦于**X.509证书+PKI体系**与**一机一密轻量级认证**两大方向。前者依托成熟的公钥基础设施实现强身份绑定,后者通过硬件级安全模块(如TPM/SE)保障密钥隔离。技术选型需综合考量安全性、可...
深入分析SSL/TLS服务器的证书(C/C++代码实现)
chen1415886044的博客
07-07 2475
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络安全领域的重要协议,它们在保护网络通信中发挥着至关重要的作用。这些协议通过加密和身份验证机制,确保数据在传输过程中的机密性和完整性,防止数据被窃取或篡改。 这些协议的关键组成部分之一是SSL/TLS服务器的证书,它为服务器提供了一种身份验证和加密的方式
手把手教你配置CA与自签名证书:构建ESP32可信通信链路的6步完整流程
数字证书基于X.509标准,包含公钥、持有者信息、有效期及CA签名等关键字段,依赖非对称加密实现身份认证与密钥交换。 其核心机制在于**信任链验证**:终端证书由中间CA签发,中间CA证书又由根CA签发,最终根证书...
Openssl 生成ECC证书及密钥
我不是码农的博客~~~
04-20 1440
前面一期介绍了windows下安装Openssl的方法。在此基础上,本期介绍利用openssl指令生成CA证书的方法,我们暂定CA名称为BJ2020,证书签名算法为ECDSA,待生成证书中的信息为下述内容: 国家:CN 所在省份:BeiJing 所在区域:HaiDian 生成证书的指令如下所述: 步骤一:生成CA密钥对 openssl ecparam -out BJ2020.key -name prime256v1 -genkey 步骤二:生成CA 请求文件 openssl req -key BJ2020
openssl密钥生成工具
12-26
openssl密钥生成工具,用于生成公钥私钥
ECC SSL证书详解
01-10
现在 SSL 证书普遍使用的是 RSA 算法,由于上述的 RSA 算法存在的缺点,使用 ECC 作为其公钥算法的数字证书近几年的发展也不容小觑:2008 年左右 CA 开始储备 ECC证书,2012 年左右 CA 开始对外公开销售 ECC 证书,2014 年 ECC 证书在国外被普遍开始使用,2015 年国内开始接受 ECC 证书
openssl 生成X509 V3的根证书及签名证书
热门推荐
冰冻三尺非一日之寒
05-16 2万+
openssl 生成X509 V3的根证书及签名证书在测试的时候有时需要使用证书。因此使用OpenSSL创建自签名根证书,使用根证书签发证书显得很重要。1、生成证书及自签名证书1.创建根证私钥    openssl genrsa -out root-key.key 10242.创建根证书请求文件    openssl req -new -out root-req.csr -key root-ke...
Windows openssl自建CA并分发证书(ECC)
c630843901的博客
07-06 4170
需要下载安装openssl,并将其添加进path确保openssl可以使用后,列出可用ECC曲线 我们使用生成秘钥对。使用 生成证书我们需要使用证书来签名服务器和客户端的证书,使用私钥生成证书,为此我们创建几个目录,用来存储证书,秘钥,索引数据任意创建一个文件夹,这里随意命名位tls 然后在该文件夹里创建如上图圈出文件/文件夹,其他都是后面命令自动生成的命令行进入自己创建的文件夹生成CA ECC私钥 ⽣成秘钥时,openssl默认仅存储曲线的名字: 生成CA证书 使用上一步生成的CA私钥,生成CA证书
使用OpenSSL制作ecc证书
落单候鸟的专栏
08-01 8238
生成ECC证书。 Debian:/home/test# openssl ecparam -out EccCA.key -name prime256v1-genkey Debian:/home/test# openssl req -key EccCA.key -new -outEccCA.req Debian:/home/test# openssl x509 -req -in EccCA.re
java 生成ecc证书_使用openssl命令制作ecc证书
weixin_31076517的博客
03-07 316
# openssl ecparam -out EccCA.key -name prime256v1 -genkey# openssl req -config openssl.cnf -key EccCA.key -new -out EccCA.req# openssl x509 -req -in EccCA.req -signkey EccCA.key -out EccCA.pem# openss...
openssl SM2(ECC)自签服务端和客户端证书
xcw1234的博客
02-01 2117
SM2 ECC 自签证书
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值