自签名根证书(CA证书)颁布

最新推荐文章于 2025-03-02 16:05:14 发布
最新推荐文章于 2025-03-02 16:05:14 发布
阅读量727 收藏 15
点赞数 9
分类专栏: 随记 文章标签: 运维 服务器 nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iGD_Hz/article/details/143780852
版权

操作流程

  1. openssl genrsa -out rootCA.key 2048`
    • genrsa 是 OpenSSL 中的一个命令,用于生成 RSA 私钥。RSA 是一种广泛使用的非对称加密算法,通常用于 SSL/TLS 加密、数字签名和密钥交换
    • -out rootCA.key 将生成的文件输出到rootCA文件
    • 2048 指定了生成的 RSA 密钥的位数。在此命令中,密钥的大小为 2048 位。

  2. 创建文件rootCA.cnf,其中alt_names下的参数分别为域名(DNS)以及 IP,该参数会在证书验证后对请求域名和ip地址进行校验

    [ req ]
default_bits       = 2048
prompt             = no                                                                                                 
default_md         = sha512
distinguished_name = dn
req_extensions     = req_ext            	                                                                                                                                                                                                        					           	  
[dn]
C = CN                                                                                                                  
ST = Beijing
L = Beijing
O = orgnaization
OU = organizationUnit                                                                                                  
CN = release                                                                                                            
[ req_ext ]                                                                                                             
subjectAltName = @alt_names                                                                                             
[ alt_names ]
DNS.1 = release.local
DNS.2 = repo.local
IP.1 = 192.168.140.50

  3. 根据rootCA.cnf文件生成CA证书

    openssl req -x509 -new -key rootCA.key -sha512 -days 3650 -out rootCA.crt -config rootCA.cnf -extensions req_ext
    • -x509 是一个选项,用于指定生成一个 自签名证书,而不是一个证书签名请求(CSR)
    • -new 选项表示生成一个新的请求或证书
    • -key rootCA.key 指定了证书签名所使用的私钥,即rootCA.key
    • -sha512 选项指定在生成证书时使用 SHA-512 哈希算法
    • -days 3650 设置证书的有效期为 3650 天,即 10 年
    • -out rootCA.crt 指定输出文件的名称。生成的自签名证书将保存为 rootCA.crt 文件。这个文件通常是 .crt 或 .pem 格式
    • -config rootCA.cnf 指定 OpenSSL 配置文件。rootCA.cnf 是配置文件的路径,它定义了证书生成过程中的一些选项(如证书的 DN 信息、扩展部分等)。
    • -extensions req_ext 选项指示 OpenSSL 在生成证书时应用名为 req_ext 的扩展部分。req_ext 是在 rootCA.cnf 配置文件中定义的部分,通常用于配置证书扩展,如 Subject Alternative Name (SAN)。

  4. 查看证书信息是否正确。

    openssl x509 -in rootCA.crt -text -noout

    在这里插入图片描述

cnf 文件配置说明

[ req ] 部分:

  • default_bits = 2048
    指定生成的 RSA 密钥 的位数为 2048 位。2048 位是常见的 RSA 密钥长度,具有足够的安全性,且计算性能较好。
  • prompt = no
    默认情况下,OpenSSL 会在生成证书请求时提示你输入有关组织和证书的信息。设置 prompt = no 会禁用这些提示,并直接从配置文件中获取相关信息。
  • default_md = sha512
    设置默认的 消息摘要算法 为 SHA-512。
  • distinguished_name = dn
    指定 distinguished_name 部分的配置名称为 dn,该部分会提供证书中有关主题的详细信息(如国家、组织等),这里的dn对应下面的dn标签
  • req_extensions = req_ext
    这是指向扩展部分的配置,指示 OpenSSL 使用 req_ext 部分中的扩展设置(例如 subjectAltName),对应下面的req_ext标签

[ dn ] 部分:

这个部分包含了 Distinguished Name(DN),它是证书中表示身份的基本信息。

  • C = CN
    证书的 国家(Country)为 中国(China)。CN 是中国的国家代码。
  • ST = Beijing
    证书的 省份/地区(State)为 北京。
  • L = Beijing
    证书的 城市(Locality)为 北京。
  • O = nso
    证书的 组织(Organization)名称为 nso。
  • OU
    证书的 组织单位(Organizational Unit)为 nsu。
  • CN
    证书的 公共名称。通常是服务器的域名或 IP 地址。

[ alt_names ] 部分:

这是 Subject Alternative Name(SAN) 部分的定义。该部分列出了证书的额外名称信息,它可以包括 DNS 名称和 IP 地址。SAN 是 SSL/TLS 证书中用于多个域名或 IP 地址的扩展,支持证书被用于多个服务或服务器,主要用于证书校验时会对域名进行校验,用于处理您正访问站点的安全证书上的名称无效,或者与站点名称不匹配的问题

  • DNS.1 = 域名。使用域名访问时候检验其域名。
  • IP.1 = ip地址。使用ip地址时校验ip地址是否存在对应项。
自签名根证书、中间证书服务器证书生成流程详解
N阶二进制的博客
12-01 5592
在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。至此,你已经生成了一个由中间证书签署的服务器证书。至此,你已经生成了一个由根证书签署的中间证书。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。生成自签名根证书(Root Certificate)的过程包括生成私钥、生成自签名根证书。生成服务器证书的步骤与生成中间证书根证书类似。
如何使用OpenSSL创建自签名根证书
cunjiu9486的博客
10-08 764
OpenSSL provides cryptographic libraries and features. We can use OpenSSL from reading DER files to generate random numbers. But one of the most used feature is creating a Self Signed Certificate. , O...
linux下 openssl证书签发
何小杰的博客
10-22 2158
在linux已经集成了openssl组件,因此博主利用例子讲解如何在linux系统下签发证书,因为个人证书时不受谷歌浏览器认可的,所以自签发证书只能在火狐浏览器下测试使用!
自签名证书
weixin_43843908的博客
05-07 909
https中的自签名证书
使用OpenSSL生成自己CA根证书,和使用CA根证书颁发二级证书
最新发布
xsh219的博客
03-02 1049
需要在自己安装好Openssl,网上有很多攻略本文是以grpc的证书认证为例,用生成的root.crt证书签发两个二级证书client.crt和server.crt本来参考书别人的博客想做一下grpc的双向证书认证,发现在客户端运行代码总是无法识别根证书,摸索才发现我生成的根证书就不能签发 证书,所以才写下此篇博客记录一下,仅供参考!
通过openSSL生成自签名根证书及根据根证书颁发的用户证书
adminstate的博客
07-20 1572
数字证书
PKI-3-CA证书、自颁发(self-issued)证书、自签(self-signed)证书概念
一分耕耘一分收获
11-16 2993
在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书、自签(self-signed)证书CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任 CA证书:通常指的是颁发者和主体是不同的证书; 自颁发证书:是指证书的颁发者和主体是同一个CA证书.
企业自颁布服务器证书的有效性验证(C#为例)
Darlzan的专栏
05-27 2672
本文主要介绍在使用企业自己颁发的服务器证书实现HTTPS通信的情况下,如何在客户端程序中对服务器证书的有效性进行验证,主要提供了C#客户端验证的实现方式。
导入证书可以解决”无法建立到信任根颁发机构的证书链"问题。
05-23
在本例中,提供的文件名为“MicrosoftRootCertificateAuthority2011.cer”,这很可能是微软在2011年发布的根证书。微软的根证书用于验证由微软签发的其他证书,包括Windows更新服务器、Office 365等服务。 解决此...
Win7 安装SSMS 报无法建立到信任根颁发机构的证书链。(0x800B010A).rar
07-28
0x800B010A错误代码表明系统无法验证安装文件的签名,可能是由于缺少或过期的根证书,或者系统中存在证书配置问题。 为了解决这个问题,我们可以采取以下步骤: 1. **检查系统更新**:确保你的Windows 7系统已经...
ssl tls 证书根证书和叶证书查询
djph26741的博客
02-18 1202
你基本上需要做的是构建一个证书链,如果你没有得到它作为一个链。证书链基本上由第零个位置的最终实体证书(也是叶证书,链中最重要的证书)组成,其次是次要证书CA证书是最不重要的。 所以这是通常的X.509证书链的样子: 3. CA Certificate (self-signed) 根证书CA证书是最不重要 | |__ 2. Sub CA Certif...
验证证书链 java_java实现证书链和签名验证
weixin_32285411的博客
02-13 2362
public static boolean verify(X509Certificate X509certificateRoot,Collection collectionX509CertificateChain,X509CRL X509crl,String stringTarget) {//获取证书链长度int nSize=collectionX509CertificateChain.size(...
OpenSSL自签名证书
爱喝星冰乐的博客
05-28 1322
OpenSSL自签证书
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6934
openssl ca
自签root根证书服务器证书流程详解
tzwangxiong的专栏
02-04 815
Common Name (e.g., your name or your server’s hostname) 通常是你的服务器的主机名。Organizational Unit Name (e.g., section) 部门或单位的全名。Organization Name (e.g., company) 公司或组织的全名。Locality Name (e.g., city) 城市或地区的全名。State or Province Name 州或省的全名。备注:注意系统时间问题。
如何自签发证书,并利用根证书进行公私钥发布
qq_42353939的博客
03-24 2353
1、将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹 mkdir demoCA cd demoCA index.txt为空,serial必须写入内容,且为字符串格式的数字(比如1000) mkdir srl certs newcerts touch index.txt serial echo 1000 > serial cd .. sudo...
OpenSSL RSA 加密/解密 签名/验签 自签名证书
panshiqu的专栏
08-30 1096
生成私钥 导出公钥 加密 解密 签名 验签 自签名证书 注: * Mac中的OpenSSL是LibreSSL * 自签名常会用在内网提供HTTPS服务 * 验签用在支付成功后验证第三方通知的消息 * 现在应该流行 genpkey、pkey、pkeyparam、pkeyutl 相关命令 * 加密分为 对称(加解密使用相同密钥) 和 非对称(加解密使用不同密钥) * 私钥加密公钥解密是没有意义的,公钥是公开的,很多人持有,达不到加密的意义......
通过OpenSSL生成自签名证书,认识RSA算法
彼此当年少,莫负好时光
07-06 3019
前言 OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL本身是一个基于C语言的库,但是它也提供一个名为openssl的可执行程序来实现它所具有的功能。 可以通过OpenSSL官网下载源码,Linux和MacOS系统configure一下,make一下就OK了,相信你会编译了。编译后源码根...
CA证书的签发与认证
buran的博客
03-19 1992
【实验目的及要求】 实验目的: 学会签发根CA证书,使用根CA证书签发下级证书。 实验要求: 利用OpenSSL提供的命令行工具实现: 生成根CA密钥对、生成自签名的根CA证书; 生成普通个人用户的密钥对,并生成证书请求; 以CA管理员的角色,给上一步生成的证书请求签发个人证书。 【实验环境】 Linux 内核2.6及以上,安装有OpenSSL。 【实验过程】 1)环境准备 1、首先检查系统是否安装openssl,命令行中输入命令 openssl version 如图在命令行中,输出了OpenSSL
使用OpenSSL生成根CA证书的操作步骤
OpenSSL证书制作是指使用OpenSSL工具来生成根证书服务器证书和客户端证书的过程。OpenSSL是一款开源的加密工具包,广泛应用于网络安全领域,尤其是在HTTPS协议中,用于确保数据传输的安全性。 **生成根证书** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值