自签名根证书(CA证书)颁布

最新推荐文章于 2025-09-23 18:48:25 发布
原创 最新推荐文章于 2025-09-23 18:48:25 发布 · 906 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #服务器 #nginx

操作流程

  1. openssl genrsa -out rootCA.key 2048`
    • genrsa 是 OpenSSL 中的一个命令,用于生成 RSA 私钥。RSA 是一种广泛使用的非对称加密算法,通常用于 SSL/TLS 加密、数字签名和密钥交换
    • -out rootCA.key 将生成的文件输出到rootCA文件
    • 2048 指定了生成的 RSA 密钥的位数。在此命令中,密钥的大小为 2048 位。

  2. 创建文件rootCA.cnf,其中alt_names下的参数分别为域名(DNS)以及 IP,该参数会在证书验证后对请求域名和ip地址进行校验

    [ req ]
default_bits       = 2048
prompt             = no                                                                                                 
default_md         = sha512
distinguished_name = dn
req_extensions     = req_ext            	                                                                                                                                                                                                        					           	  
[dn]
C = CN                                                                                                                  
ST = Beijing
L = Beijing
O = orgnaization
OU = organizationUnit                                                                                                  
CN = release                                                                                                            
[ req_ext ]                                                                                                             
subjectAltName = @alt_names                                                                                             
[ alt_names ]
DNS.1 = release.local
DNS.2 = repo.local
IP.1 = 192.168.140.50

  3. 根据rootCA.cnf文件生成CA证书

    openssl req -x509 -new -key rootCA.key -sha512 -days 3650 -out rootCA.crt -config rootCA.cnf -extensions req_ext
    • -x509 是一个选项,用于指定生成一个 自签名证书,而不是一个证书签名请求(CSR)
    • -new 选项表示生成一个新的请求或证书
    • -key rootCA.key 指定了证书签名所使用的私钥,即rootCA.key
    • -sha512 选项指定在生成证书时使用 SHA-512 哈希算法
    • -days 3650 设置证书的有效期为 3650 天,即 10 年
    • -out rootCA.crt 指定输出文件的名称。生成的自签名证书将保存为 rootCA.crt 文件。这个文件通常是 .crt 或 .pem 格式
    • -config rootCA.cnf 指定 OpenSSL 配置文件。rootCA.cnf 是配置文件的路径,它定义了证书生成过程中的一些选项(如证书的 DN 信息、扩展部分等)。
    • -extensions req_ext 选项指示 OpenSSL 在生成证书时应用名为 req_ext 的扩展部分。req_ext 是在 rootCA.cnf 配置文件中定义的部分,通常用于配置证书扩展,如 Subject Alternative Name (SAN)。

  4. 查看证书信息是否正确。

    openssl x509 -in rootCA.crt -text -noout

    在这里插入图片描述

cnf 文件配置说明

[ req ] 部分:

  • default_bits = 2048
    指定生成的 RSA 密钥 的位数为 2048 位。2048 位是常见的 RSA 密钥长度,具有足够的安全性,且计算性能较好。
  • prompt = no
    默认情况下,OpenSSL 会在生成证书请求时提示你输入有关组织和证书的信息。设置 prompt = no 会禁用这些提示,并直接从配置文件中获取相关信息。
  • default_md = sha512
    设置默认的 消息摘要算法 为 SHA-512。
  • distinguished_name = dn
    指定 distinguished_name 部分的配置名称为 dn,该部分会提供证书中有关主题的详细信息(如国家、组织等),这里的dn对应下面的dn标签
  • req_extensions = req_ext
    这是指向扩展部分的配置,指示 OpenSSL 使用 req_ext 部分中的扩展设置(例如 subjectAltName),对应下面的req_ext标签

[ dn ] 部分:

这个部分包含了 Distinguished Name(DN),它是证书中表示身份的基本信息。

  • C = CN
    证书的 国家(Country)为 中国(China)。CN 是中国的国家代码。
  • ST = Beijing
    证书的 省份/地区(State)为 北京。
  • L = Beijing
    证书的 城市(Locality)为 北京。
  • O = nso
    证书的 组织(Organization)名称为 nso。
  • OU
    证书的 组织单位(Organizational Unit)为 nsu。
  • CN
    证书的 公共名称。通常是服务器的域名或 IP 地址。

[ alt_names ] 部分:

这是 Subject Alternative Name(SAN) 部分的定义。该部分列出了证书的额外名称信息,它可以包括 DNS 名称和 IP 地址。SAN 是 SSL/TLS 证书中用于多个域名或 IP 地址的扩展,支持证书被用于多个服务或服务器,主要用于证书校验时会对域名进行校验,用于处理您正访问站点的安全证书上的名称无效,或者与站点名称不匹配的问题

  • DNS.1 = 域名。使用域名访问时候检验其域名。
  • IP.1 = ip地址。使用ip地址时校验ip地址是否存在对应项。
自签名根证书、中间证书服务器证书生成流程详解
N阶二进制的博客
12-01 6349
在实际情况中,一些字段可能不是必需的,具体取决于你的使用场景和证书颁发机构(CA)的要求。至此,你已经生成了一个由中间证书签署的服务器证书。至此,你已经生成了一个由根证书签署的中间证书。在实际环境中,你可能还需要考虑中间证书的有效期、使用配置文件来指定证书信息等。在实际生产环境中,你可能需要更详细的信息,包括使用配置文件来指定证书信息,设置证书有效期限等。生成自签名根证书(Root Certificate)的过程包括生成私钥、生成自签名根证书。生成服务器证书的步骤与生成中间证书根证书类似。
企业自颁布服务器证书的有效性验证(C#为例)
Darlzan的专栏
05-27 2725
本文主要介绍在使用企业自己颁发的服务器证书实现HTTPS通信的情况下,如何在客户端程序中对服务器证书的有效性进行验证,主要提供了C#客户端验证的实现方式。
通过openSSL生成自签名根证书及根据根证书颁发的用户证书
adminstate的博客
07-20 1761
数字证书
PKI-3-CA证书、自颁发(self-issued)证书、自签(self-signed)证书概念
一分耕耘一分收获
11-16 3325
在PKI-1,PKI-2上解释了数字签名、数字证书的概念,其中数字证书就是以CA证书为例,此外还有一些证书概念,如自颁发(self-issued)证书、自签(self-signed)证书CA:Certificate Authority 电子商务认证授权机构,也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任 CA证书:通常指的是颁发者和主体是不同的证书; 自颁发证书:是指证书的颁发者和主体是同一个CA证书.
自签名证书
weixin_43843908的博客
05-07 968
https中的自签名证书
如何使用OpenSSL创建自签名根证书
cunjiu9486的博客
10-08 800
OpenSSL provides cryptographic libraries and features. We can use OpenSSL from reading DER files to generate random numbers. But one of the most used feature is creating a Self Signed Certificate. , O...
导入证书可以解决”无法建立到信任根颁发机构的证书链"问题。
05-23
在本例中,提供的文件名为“MicrosoftRootCertificateAuthority2011.cer”,这很可能是微软在2011年发布的根证书。微软的根证书用于验证由微软签发的其他证书,包括Windows更新服务器、Office 365等服务。 解决此...
Nginx 配置指南:HTTPS 自签名、Location、Rewrite 与状态统计
最新发布
ershi2002的博客
09-23 1289
Nginx 服务器管理中,HTTPS 加密、请求路径匹配、URL 重写及状态监控是核心进阶能力。本文将系统梳理这些配置的原理、实操步骤与案例,帮助你快速掌握 Nginx 进阶用法。
验证证书链 java_java实现证书链和签名验证
weixin_32285411的博客
02-13 2450
public static boolean verify(X509Certificate X509certificateRoot,Collection collectionX509CertificateChain,X509CRL X509crl,String stringTarget) {//获取证书链长度int nSize=collectionX509CertificateChain.size(...
OpenSSL自签名证书
爱喝星冰乐的博客
05-28 1551
OpenSSL自签证书
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 7513
openssl ca
自签root根证书服务器证书流程详解
tzwangxiong的专栏
02-04 996
Common Name (e.g., your name or your server’s hostname) 通常是你的服务器的主机名。Organizational Unit Name (e.g., section) 部门或单位的全名。Organization Name (e.g., company) 公司或组织的全名。Locality Name (e.g., city) 城市或地区的全名。State or Province Name 州或省的全名。备注:注意系统时间问题。
如何自签发证书,并利用根证书进行公私钥发布
qq_42353939的博客
03-24 2393
1、将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹 mkdir demoCA cd demoCA index.txt为空,serial必须写入内容,且为字符串格式的数字(比如1000) mkdir srl certs newcerts touch index.txt serial echo 1000 > serial cd .. sudo...
使用OpenSSL生成自签名证书相关命令
网络资源是无限的
07-16 3389
在用于小范围测试等目的的时候,用户也可以自己生成数字证书,但没有任何可信赖的机构签名,此类数字证书称为自签名证书证书一般采用X.509标准格式。下面通过OpenSSL相关命令介绍如何生成自签证书。 1. 生成自签名根证书(一级证书): (1).产生长度为2048的rsa私钥root.key,PEM格式: LD_LIBRARY_PATH=../lib ./openssl genrsa -out root.key 2048 (2).验证私钥root.key:执行结果如下图所示 LD_LIBRAR
OpenSSL RSA 加密/解密 签名/验签 自签名证书
panshiqu的专栏
08-30 1218
生成私钥 导出公钥 加密 解密 签名 验签 自签名证书 注: * Mac中的OpenSSL是LibreSSL * 自签名常会用在内网提供HTTPS服务 * 验签用在支付成功后验证第三方通知的消息 * 现在应该流行 genpkey、pkey、pkeyparam、pkeyutl 相关命令 * 加密分为 对称(加解密使用相同密钥) 和 非对称(加解密使用不同密钥) * 私钥加密公钥解密是没有意义的,公钥是公开的,很多人持有,达不到加密的意义......
openssl RSA私钥 公钥 CA证书生成
cxc0378的博客
06-21 1169
1.生成CA根证书 1.1生成ca秘钥,得到ca.key openssl genrsa -out ca.key 2048 1.2生成ca证书签发请求,得到ca.csr openssl req -new -out ca.csr -key ca.key 1.3生成ca根证书,得到ca.crt openssl x509 -req -days 3650 -in ca.csr -signkey ...
通过OpenSSL生成自签名证书,认识RSA算法
彼此当年少,莫负好时光
07-06 3364
前言 OpenSSL是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。OpenSSL本身是一个基于C语言的库,但是它也提供一个名为openssl的可执行程序来实现它所具有的功能。 可以通过OpenSSL官网下载源码,Linux和MacOS系统configure一下,make一下就OK了,相信你会编译了。编译后源码根...
CA证书的签发与认证
buran的博客
03-19 2084
【实验目的及要求】 实验目的: 学会签发根CA证书,使用根CA证书签发下级证书。 实验要求: 利用OpenSSL提供的命令行工具实现: 生成根CA密钥对、生成自签名的根CA证书; 生成普通个人用户的密钥对,并生成证书请求; 以CA管理员的角色,给上一步生成的证书请求签发个人证书。 【实验环境】 Linux 内核2.6及以上,安装有OpenSSL。 【实验过程】 1)环境准备 1、首先检查系统是否安装openssl,命令行中输入命令 openssl version 如图在命令行中,输出了OpenSSL
自签名免费(SSL)私有证书
haodayizhizhuzhu的博客
02-16 6492
内容导航1,生成加密自签名(SSL)证书1,使用openssl工具生成一个RSA私钥2,删除密码,重命名文件,导出key内容3,生成CSR(证书签名请求)4,生成自签名crt证书1,下载证书到本地2,win + r 打开mmc进入控制台1EDN:内容参考1,背景描述:2,解决方法:EDN:内容参考。
openssl如何创建自签名根证书
06-25
创建自签名根证书是构建私有PKI(公钥基础设施)中的关键步骤,适用于测试、开发或内部网络环境。以下是使用 OpenSSL 创建自签名根证书的详细步骤: ### 生成根密钥 首先需要生成一个私钥,该私钥将用于签署其他证书。推荐使用2048位或更高位数以确保安全性。 ```bash openssl genrsa -out rootCA.key 2048 ``` ### 创建自签名根证书 使用上面生成的私钥来创建一个自签名根证书。此证书通常具有较长的有效期,并且包含关于证书颁发机构的信息[^1]。 ```bash openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.crt ``` 在运行这条命令时,系统会提示输入一些信息,比如国家、省份、城市、组织名称、组织单位名称、通用名称(通常是你的域名)以及电子邮件地址等。这些信息构成了证书的主题字段。 ### 配置扩展(可选) 如果需要为根证书添加特定的X.509v3扩展,如基本约束、密钥用法等,则可以编辑OpenSSL配置文件或者直接通过命令行参数指定。例如,若要明确指出这是一个CA证书并设置路径长度限制,可以在创建证书时加入 `-addext` 参数[^4]: ```bash openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 \ -addext "subjectAltName = DNS:example.com, IP:192.168.1.1" \ -addext "basicConstraints = critical, CA:TRUE, pathlen:0" \ -addext "keyUsage = critical, cRLSign, keyCertSign" \ -out rootCA.crt ``` ### 安装与信任根证书 一旦根证书被创建出来,它就需要被安装到所有希望信任该CA的设备上。对于操作系统级别的信任,可能需要手动将 `rootCA.crt` 导入到系统的受信任根证书存储中。这样做的具体方法取决于使用的操作系统和浏览器[^4]。 ### 多域名支持(SAN) 若需支持多个域名,可以通过提供额外的 SAN(Subject Alternative Name)条目来实现。这要求在生成CSR时指定额外的DNS名称或IP地址。 以上步骤完成后,你就拥有了一个可用于签发其他证书自签名根证书。这个过程不仅有助于理解PKI的工作原理,也为实际应用提供了基础的安全保障。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值