openssl证书添加多个IP

最新推荐文章于 2025-03-31 10:20:50 发布
最新推荐文章于 2025-03-31 10:20:50 发布
阅读量1.5w 收藏 4
点赞数
分类专栏: 工具 文章标签: openssl 证书 IP 查看内容
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linsanhua/article/details/16986701
版权


前文http://blog.youkuaiyun.com/linsanhua/article/details/16878817 描述了基于 OpenSSL 的 CA 建立及证书签发过程。

这里描述怎么利用subjectAltName添加ip到openssl证书。

首先创建openssl.cnf, 内容如下. 其中organizationalUnitName_default是你的组织名,commonName_default是域名,IP.1,IP.2则是想要加进来的IP列表了。

[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req


[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = SiChuan
localityName = Locality Name (eg, city)
localityName_default = ChengDu
organizationName = Organization Name (eg, company)
organizationName_default = xxxxx Ltd
organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = xxxxxxx
commonName = Common Name (e.g. server FQDN or YOUR name)
commonName_default = *.xxxx.com
commonName_max  = 64


[v3_req]
basicConstraints = CA:TRUE
subjectAltName = @alt_names

[alt_names]
IP.1 = xxx.xxx.xxx.xxx
IP.2 = xxx.xxx.xxx.xxx


下面shell步骤。

# 建立 CA 目录结构
mkdir -p ./demoCA/{private,newcerts}
touch ./demoCA/index.txt
echo 01 > ./demoCA/serial

# 生成 CA 的 RSA 密钥对
openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048


# 自签发 CA 证书

openssl req -new -x509 -days 365 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem -extensions v3_req -config openssl.cnf


# 查看证书内容

openssl x509 -in demoCA/cacert.pem -noout -text


OpenSSL创建SSL证书
悦分享
06-03 5388
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
测试环境:使用OpenSSL生成证书并配置Https
liao3399084的博客
07-06 4677
回车后,提示需要部分信息,该部分信息照着抄就行,没有二次校验的过程,自己随便填,但是填写域名的位置尽量真实点;安装完成后,可以设置环境变量,也可以不设置环境变量,设置环境变量的好处是:在任意位置通过cmd命令行窗口都可以执行openssl命令,而没有设置环境变量则需要进入OpenSSL安装目录进行命令行的操作。刚才生成的证书文件和key的位置,要写相对路径,建议将这两个文件放到nginx配置文件的同级目录,写绝对路径可能会报错。正常情况会生成两个文件,一个server.key 一个server.csr。
OpenSSL自签发配置有多域名或ip地址的证书
zwj1030711290的优快云
06-23 883
局域网上传
openssl 生成多域名 多IP 的数字证书
xichji的专栏
09-18 1143
工具是用的:windows平台 Win64OpenSSL-3_2_0.exe 或 Win64OpenSSL_Light-3_2_0.exe (建议用:Win64OpenSSL-3_2_0.exe )// 设置遗嘱消息 qos 默认为 1 retained 默认为 false。* (消费者) mqtt消息入站通道,订阅消息后消息进入的通道。* (消费者) mqtt消息入站通道,订阅消息后消息进入的通道。* (生产者) mqtt消息出站通道,用于发送出站消息。// 设置异步不阻塞。
OpenSSL 生成免费ip证书以及nginx前后端配置
最新发布
你是我的天晴
03-31 1217
请注意,这样直接访问api地址是没问题的,但前端访问会报跨域错误CORS error,就算后端配置了跨域处理也会报错,不知道为啥,不知道是不是配置问题,知道的伙伴能告知下吗。假设你已经为Nginx配置了SSL证书,可以通过Nginx将HTTPS请求转发到Spring Boot(http://123.456.789.012:8080)应用。没有域名,但是又需要https,可以使用OpenSSL生成一个绑定到IP地址的自签名SSL证书,并在Nginx中进行配置。(请替换为你的实际IP地址)。
openssl多域名ip证书制作
weixin_49254673的博客
07-04 1152
openssl ca -extfile doubleip -days 3650 -in server.csr -cert ca.crt -keyfile ca.key -out server.crt 根据ca证书签发服务器证书openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name alias-key(需要.key私钥文件和.crt证书)server.key 服务器证书的私钥。ca.crt是根证书证书
使用openssl创建多泛域名及IP的自签名证书
qq1091606981的专栏
01-06 2462
使用openssl创建多泛域名及IP的自签名证书
使用OpenSSL生成多域名自签名证书
fansys的博客
04-12 2565
使用OpenSSL生成多域名自签名证书 证书生成过程介绍 证书的目的是建立特定密钥对与特定实体之间的联系。 自签名根证书是指一堆密钥对的私钥对自己相应的公钥生成的证书请求进行签名而颁发的证书证书的申请人和签发人都是同一个。 需要一对密钥对; 常用的是RSA,DSA密钥,ECDSA密钥,用于密钥交换的证书不能用DSA,只能用RSA,因为DSA不能加解密也不能做密钥交换,只能做签名;ECDSA还没有被大部分的CA支持; 证书认证请求文件(csr文件) 这是按照一定格式生成的文件,里面包含实体信息 将
生成本地测试用https证书,支持通配符和多域名,初学OpenSSL
高坚果兄弟
01-27 5067
18-01-26在v2ex上看到一妹纸发的《身为一个 21 岁的年轻程序员,我已经腰突了(躺》,哈哈,感同身受,想到这几天我左腿麻木持续了好几天,前几天屁股疼的只要坐下就站不起来,不过站着却一点事没有,然后坚持站了好几天,目前屁股不疼,腿麻的毛病还没有恢复。。。[后续] 接触到的https https站点生产环境和本地测试环境搭建以前也有点接触(Windows Server2008
证书详解及使用openssl生成自签证书与SAN多域名证书
五侠的博客
11-01 2392
生成自签证书 生成SAN多域名证书 使用私有CA签发证书
openssl生成证书和nginx配置ssl证书
weixin_44153121的博客
03-30 1798
一般情况下,使用ssl证书需要三个操作步骤:1.生成密钥对;2.生成证书请求文件;3.生成证书文件。从单纯的开发者角度来说,可以使用开源的openssl生成密钥和证书,且通过openssl的req命令,可以一个命令完成上述3个操作
OpenSSL之十三:证书和CA指令
wzfgd的博客
03-09 2778
证书的生成和 CA 指令的应用。
使用 openssl 创建自签发证书,含 IP证书 及 泛域名证书
onebird_lmx的博客
08-11 9618
web里面需要使用ssl才能使用,所以需要使用域名证书: 1. 创建根证书 创建秘钥 openssl genrsa -out LocalRootCA.key 2048 生成证书并自签名,nodes是不用密码 openssl req -sha256 -new -nodes -x509 -days 3650 -key LocalRootCA.key -out LocalRootCA.crt -subj "/CN=LocalRootCA" 2. 创建域名证书 创建秘钥 openssl genrsa -out aa
基于OpenSSL的CA建立及证书签发(签发多域名/IP
hobby云说
06-09 4326
自签SSL证书(多域名/IP) 本文基于以下环境: 内核信息:Linux zabbix 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64 x86_64 x86_64 GNU/Linux 系统版本:CentOS Linux release 7.6.1810 (Core) OpenSSL版本:OpenSSL 1.0.2k-fips 26 Jan 2017 【前言】 在基于OpenSSL的CA建立及证书签发一文中(后面统.
使用OpenSSL生成内网证书
dongyan3595的博客
04-18 1904
使用OpenSSL生成内网证书
openssl 生成签名和增加多DNS支持
ssj901217的博客
04-20 3294
1. 做为CA机构生成自签名 1.1. 生成RSA私钥      openssl genrsa -out ca_rsa_private.key 2048   1.2 生成自签名证书 openssl req -new -x509 -days 365 -key ca_rsa_private.key -out ca_cert.crt   1.3 把自签名给客户端做为根证书   ...
openssl自签名多域名证书
weixin_30770495的博客
05-07 530
这几天一直在研究如何使用openssl工具来生成多域名证书,今天终于有点眉目了,实现方法如下: 生成私钥 openssl genrsa -out server.key 1024 用私钥生成自签名的cer证书格式文件openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=mykey/L=...
linux添加域名证书,利用OpenSSL签署多域名证书
weixin_36168927的博客
05-11 353
openssl自建CA默认签署的是单域名证书,因为单台服务器上有多个https域名,签署多域名证书能方便很多,今天找了很久,除了一些卖证书的网站上有scr工具能加“使用者备用名称”,都没有找到openssl相关的添加方法。后来看openssl.cnf找到一个方法,这里记录一下:!!这个方法比较笨重,如果有其他方法,欢迎留言给我,感激不尽。主要修改在openssl.cnf将文件中原来的commonN...
SSL多域名绑定证书的解决方案
zymx(u010820135)的专栏
07-06 8068
转自 http://codefine.co/2786.html     之前有几篇文章已经关注过加密解密证书和HTTTPS的一些基本原理。HTTPS、SSL与数字证书介绍,公钥私钥加密解密数字证书数字签名详解。这里想探讨一下单一的web服务中多个域名共享一个证书或者使用多个证书进而使用多域名的HTTPS的问题。     在《HTTPS、SSL与数字证书介绍》这篇文章中介绍了,证书
windows下生成https ip签名证书
03-15
### 生成支持 HTTPS 的 IP SAN 签名证书 在 Windows 环境下生成支持 HTTPS 的 IP SAN(Subject Alternative Name)签名证书的过程可以通过 OpenSSL 工具完成。以下是详细的说明: #### 配置文件准备 为了包含 IP 地址作为 SAN,需要创建一个配置文件 `extfile.cnf` 来定义扩展字段。以下是一个示例配置文件内容[^4]: ```ini [req] distinguished_name = req_distinguished_name [req_distinguished_name] [alt_names] subjectAltName = @alt_names [alt_names] IP.1 = 192.168.1.1 IP.2 = 192.168.1.2 ``` 在此配置文件中,`IP.1` 和 `IP.2` 是两个示例 IP 地址。可以根据实际需求添加更多 IP 地址。 #### 私钥生成 使用 OpenSSL 命令生成私钥文件 `private.key`: ```bash openssl genpkey -algorithm RSA -out private.key -aes256 ``` 这条命令会生成一个加密的私钥文件,并提示输入密码保护私钥[^1]。 #### 创建 CSR 文件 基于前面生成的私钥和配置文件,创建证书签名请求 (CSR) 文件 `ustack.csr`: ```bash openssl req -new -sha256 -key private.key -out ustack.csr -config extfile.cnf -extensions v3_req ``` 执行此命令时,系统会提示输入一些 DN(Distinguished Name)信息,例如国家、组织名称等。这些信息可以随意填写,但需注意保持一致性。 #### 查看 CSR 内容 验证 CSR 是否正确包含了所需的 SAN 信息: ```bash openssl req -text -noout -in ustack.csr ``` 如果一切正常,在输出中可以看到 `X509v3 Subject Alternative Name` 字段以及所设置的 IP 地址列表[^3]。 #### 自签名或 CA 签发 对于测试环境,可以直接使用自签名方法签发证书;而对于生产环境,则建议由可信的 CA 进行签发。 ##### 自签名方式 假设不依赖外部 CA 而仅做本地测试用途,可运行以下命令签发证书 `ustack.crt`: ```bash openssl x509 -req -days 365 -in ustack.csr -signkey private.key -out ustack.crt -extfile extfile.cnf -extensions v3_req ``` 这一步骤将生成有效期为一年的 X.509 证书,并自动嵌入指定的 SAN 扩展。 ##### 使用 CA 签发 如果有可用的内部 CA 或第三方 CA 提供服务,则按照标准流程提交 CSR 并获取正式认证后的公钥证书即可。具体操作参见相关文档[^2]。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值