OpenSSL建立网络证书颁发机构及服务器证书

最新推荐文章于 2025-10-02 04:25:48 发布
转载 最新推荐文章于 2025-10-02 04:25:48 发布 · 603 阅读 · 0

本文介绍如何在Linux系统下使用Openssl生成SSL证书。包括创建根证书、服务器证书及客户端证书的过程,并提供了完整的Shell脚本示例。
使用Openssl来在Linux系统下生成证书
1、SSL所使用的证书可以是自己建的,也可以通过一个商业性CA如Verisign 或 Thawte签署的。
2、证书的概念:首先要有一个根证书,然后用根证书来签发服务器证书和客户证书,一般理解:服务器证书和客户证书是平级关系。
因此证书有:即根证书,服务器证书,客户端证书
在生成证书之前,一般会有一个私钥,同时用私钥生成证书请求,再利用证书服务器的根证来签发证书。
Linux下用来生成证书的Script如下,注Windows编辑器编辑的文件需转换成Linux格式
#!/bin/sh
# 设置环境变量指向SSL的安装目录
[ "$SSL" = "" ] &&SSL=/usr/lib/ssl
export SSL
# 下面的变量用于组织信息
COUNTRY="CN"
PROVINCE="."
CITY="Shanghai"
ORGANIZATION="MyCompany"
ORG_UNIT="Asia"
PASSWORD="mypass"

COMMON_NAME_SERVER="Server.Asia.MyCompany"
EMAIL_SERVER=""
PASSWORD_SERVER=$PASSWORD

COMMON_NAME_ROOT="RootCA.Asia.MyCompany"
EMAIL_ROOT=""
PASSWORD_ROOT=$PASSWORD

证书的有效天数
LIFETIME=1825

PATH=${SSL}/bin/:${SSL}/misc:${PATH}
LD_LIBRARY_PATH=${SSL}/lib
export PATH LD_LIBRARY_PATH

rm -rf demoCA roo* cert* *.pem *.der
# 创建CA私钥ca.key及自我签署根证书cacert.pem"
(echo $COUNTRY
echo $PROVINCE
echo $CITY
echo $ORGANIZATION
echo $ORG_UNIT
echo $COMMON_NAME_ROOT
echo $EMAIL_ROOT
) | openssl req -new -x509 -keyout ca.key -out cacert.pem -days1825 -passin pass:$PASSWORD_ROOT -passout pass:$PASSWORD_ROOT
if [ "$?" != "0" ]
then
    echo "Failedto create root certificate"
    exit 1
fi
# CA根证书输出,生成pkcs12形式并输出"
openssl pkcs12 -export -in cacert.pem -inkey ca.key -out root.p12-cacerts -passin pass:$PASSWORD_ROOT -passoutpass:$PASSWORD_ROOT
openssl pkcs12 -in root.p12 -out root.pem -passinpass:$PASSWORD_ROOT -passout pass:$PASSWORD_ROOT
openssl x509 -inform PEM -outform DER -in root.pem -outroot.der

# 创建服务器证书密钥及证书请求
(echo $COUNTRY
echo $PROVINCE
echo $CITY
echo $ORGANIZATION
echo $ORG_UNIT
echo $COMMON_NAME_SERVER
echo $EMAIL_SERVER
echo $PASSWORD_SERVER
echo $ORG_UNIT
) | openssl req -new -keyout server.key -out server.csr -days 1825-passin pass:$PASSWORD_SERVER -passout pass:$PASSWORD_SERVER
if [ "$?" != "0" ]
then
    echo "Failedto create server request"
    exit 1
fi
# CA签署服务器证书
(echo y
echo y) | openssl ca -config ca.cnf -policy policy_anything-keyfile ca.key -cert cacert.pem -in server.csr -out server.pem -passin pass:$PASSWORD_SERVER -key $PASSWORD_SERVER-extensions xpserver_ext -extfile xpextensions

if [ "$?" != "0" ]
then
    echo "Failedto sign server certificate"
    exit 1
fi
# 服务器证书输出
openssl pkcs12 -export -in server.pem -inkey server.key -outcert-srv.p12 -clcerts -passin pass:$PASSWORD_SERVER -passoutpass:$PASSWORD_SERVER || exit 5
openssl pkcs12 -in cert-srv.p12 -out cert-srv.pem -passinpass:$PASSWORD_SERVER -passout pass:$PASSWORD_SERVER || exit6
openssl x509 -inform PEM -outform DER -in cert-srv.pem -outcert-srv.der || exit 7

文件ca.conf内容
[ ca ]
default_ca      = CA_default
[ CA_default ]
dir         = ./CA
certs         = $dir
crl_dir         = $dir/crl
database      = $dir/index.txt
new_certs_dir      = $dir
certificate      = $dir/server.pem
serial         = $dir/serial
crl         = $dir/crl.pem
private_key      = $dir/server.key
RANDFILE      = $dir/.rand
name_opt      = ca_default
cert_opt      = ca_default
default_days      = 365
default_crl_days   = 30
default_md      = md5
preserve      = no
policy         = policy_match
[ policy_match ]
countryName      = match
stateOrProvinceName   = match
organizationName   = match
organizationalUnitName   = optional
commonName      = supplied
emailAddress      = optional
[ policy_anything ]
countryName      = optional
stateOrProvinceName   = optional
localityName      = optional
organizationName   = optional
organizationalUnitName   = optional
commonName      = supplied
emailAddress      = optional
[ req ]
prompt         = no
distinguished_name   = certificate_authority
default_bits      = 2048
input_password      = whatever
output_password      = whatever
[certificate_authority]
countryName      = CN
stateOrProvinceName   = Radius
localityName      = Somewhere
organizationName   = Example Inc.
emailAddress      = admin@example.com
commonName      = "Example Certificate Authority"

文件xpserver_ext内容
extendedKeyUsage = 1.3.6.1.5.5.7.3.1
文件xpextensions内容
#
File containing the OID's required forWindows.
#
http://support.microsoft.com/kb/814394/en-us
#
[ xpclient_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.2

[ xpserver_ext]
extendedKeyUsage = 1.3.6.1.5.5.7.3.1

当前目录下创建CA子目录,在CA子目录中创建空文件index.txt及serial文件,serial文件的内容为01.
【笔记】一条命令使用 openssl 生成服务器证书
永远相信美好的事情即将发生
06-21 1056
我们在请求 https 网址的时候,服务器会将自己的服务器证书发送到客户端以客户端去验证,客户端会拿自己本地的 CA 证书去验证服务器证书是通过该CA颁发的,如果是则身份认证通过。如果本地的CA无法验证服务器发来的证书时则会提示不安全或者拒绝连接。在生成 CSR(证书签名请求文件) 后,就可以将这个文件提交到 CA 机构,由 CA 机构生成对应的证书,CA 机构会验证 CSR 中的信息,在确认信息可信后,会使用自己的私钥对其中的信息进行数字签名后生成实际的服务器证书
OpenSSL 生成根证书、中间证书和网站证书
石牌桥网管笔记
11-07 1704
在这个过程中,需要根据提示输入国家、地区、组织名称等信息,例如国家填“CN”,地区填“Beijing”等,组织名称可自定义为“China Root CA Organization”等。同样输入相应信息,组织名称可填“Guangdong Intermediate CA Organization”等。参数来启用扩展,以便后续添加多个域名。在创建请求时,可以添加。
centos7 使用openssl 配置证书服务器颁发证书(史上最详细版本)
yeyuningzi的博客
12-29 6681
本文结合实际详细介绍了如何再centos7 上通过openssl工具进行自建证书服务器的搭建以及签发可用于签名的证书
如何从商业证书颁发机构安装 SSL 证书
rubys007的博客
06-22 938
本教程将向您展示如何从受信任的商业证书颁发机构(CA)获取并安装 SSL 证书。SSL 证书允许 Web 服务器加密其流量,并提供一种验证服务器身份的机制。使用 SSL 的网站通过https://协议访问。在2010年代中期之前,许多较小的网站并不总是使用 SSL 或 HTTPS。自那时起,对安全性的期望已经提高,Let’s Encrypt 项目应运而生,以便为大规模提供免费的受信任的 SSL 证书,几乎使每个人都能够根据需要使用 HTTPS。然而,Let’s Encrypt 的证书存在一些限制。
OpenSSL证书交叉证书:多CA环境的信任建立
gitblog_00644的博客
10-02 985
在企业网络和复杂系统中,单一证书颁发机构(CA,Certificate Authority)往往难以满足所有安全需求。随着业务扩张和系统复杂度提升,组织可能会部署多个CA以实现不同部门、不同区域或不同安全级别的证书管理。这种多CA环境虽然灵活,但也带来了信任链断裂的风险——当用户设备或应用程序需要验证来自不同CA签发的证书时,如何确保这些CA之间能够相互信任?OpenSSL的交叉证书(Cross-...
我实践:自建CA及证书颁发(openssl)
超级无敌棒棒糖
09-30 1348
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名的证书的区别7 good8 openssl.cnf: 用心之作,用openss
openssl 生成证书 windows导入证书
编程之道在明明德在亲民在止于至善
01-30 2302
openssl 生成证书 windows导入证书
CA证书openssl介绍
xiaogengtongxu的博客
08-09 1588
SSL (Secure Sockets Layer) 和 TLS (Transport Layer Security) 是两种用于在网络通信中提供安全性和隐私的加密协议。它们的主要目的是确保数据在互联网上传输时的保密性、完整性和身份验证。历史:SSL 由 Netscape 在 1990 年代初期开发。版本:SSL 有 1.0、2.0 和 3.0 三个版本。现状:所有 SSL 版本现在都被认为是不安全的,已被废弃。
利用openssl命令搭建私有CA管理证书
03-22 783
利用openssl命令搭建私有CA管理证书一:PKI二:SSL协议三:自建CA颁发机构和自签名3.1 搭建私有CA认证中心3.2 申请证书 一:PKI CA中心——CA系统——数字证书 CA 中心管理并运营 CA 系统,CA 系统负责颁发数字证书。 专门负责颁发数字证书的系统称为 CA 系统,负责管理并运营 CA 系统的机构称为 CA 中心。所有与数字证书相关的各种概念和技术,统称为 PKI(Pu...
使用Bash脚本和OpenSSL快速搭建证书颁发机构
资源摘要信息:"easy-ca是一个基于Bash脚本的工具,它利用OpenSSL工具快速搭建一个证书颁发机构(Certificate Authority, 简称CA)。该工具的主要功能是生成CA所需的根证书(root certificate)以及中间证书...
数字证书实战经验-Openssl自建CA中心及签发证书
10-24
本实战经验主要关注如何使用OpenSSL这一开源库来建立自己的证书颁发机构(CA)中心,并签发不同级别的证书。 首先,让我们详细解释一下这个过程。`root-ca.cnf`、`intermediate-ca.cnf`和`index.cnf`是配置文件,...
使用openssl生成单向ssl证书
04-04
在实际生产环境中,通常会使用权威证书颁发机构签发的证书,以提供更高的信任度和安全性。但在测试和开发阶段,自签发证书是一个经济且实用的选择。在处理这些证书时,务必注意保持私钥的安全,防止未经授权的访问。
STM32+MAX7219数码管模块显示程序 SPI接口
12-02
提供了基于STM32F4xx系列的MAX7219数码管模块显示程序,通过SPI串行总线进行通信,使用库函数进行编程。经过实际测试,该程序能够正常驱动数码管进行显示。 特点 基于STM32F4xx系列MCU 使用SPI串行总线通信 采用库函数编程 实测能正常驱动MAX7219数码管模块显示
基于大疆M100无人机平台的自主导航与智能决策系统开发项目_该项目专注于在复杂动态环境中实现无人机的实时障碍物感知与规避以及高效全局与局部路径规划算法的集成与优化核心内容包括利.zip
12-02
基于大疆M100无人机平台的自主导航与智能决策系统开发项目_该项目专注于在复杂动态环境中实现无人机的实时障碍物感知与规避以及高效全局与局部路径规划算法的集成与优化核心内容包括利.zip
Turbo 码编码及解码仿真程序(Matlab)
12-02
Turbo 码编码及解码仿真程序(Matlab)
【改进灰狼算法】基于记忆、进化算子和局部搜索的改进灰狼优化算法及线性种群规模缩减算法(Matlab代码实现)
最新发布
12-02
内容概要:本文提出了一种基于记忆机制、进化算子和局部搜索策略的改进灰狼优化算法,并结合线性种群规模缩减策略以提升算法收敛速度与全局搜索能力。该算法通过引入记忆模块保存优质个体信息,利用进化算子增强种群多样性,同时采用局部搜索机制提高寻优精度,有效克服了传统灰狼算法易陷入局部最优、收敛速度慢等问题。文中详细阐述了算法的设计思路、实现步骤及关键参数设置,并提供了完整的Matlab代码实现,便于读者复现与应用。实验部分验证了改进算法在多个标准测试函数上的优越性能,展示了其在优化问题中的潜力。; 适合人群:具备一定智能优化算法基础,熟悉Matlab编程,从事科研或工【改进灰狼算法】基于记忆、进化算子和局部搜索的改进灰狼优化算法及线性种群规模缩减算法(Matlab代码实现)程优化相关工作的研究生、科研人员及技术人员; 使用场景及目标:①解决复杂优化问题如函数优化、参数调优、工程设计优化等;②学习灰狼算法的改进思路与实现方法,掌握智能算法的性能提升策略; 阅读建议:建议结合Matlab代码逐行理解算法实现过程,重点关注记忆机制、进化操作与局部搜索的融合方式,并通过实验对比分析改进策略的有效性。
基于ROS的机器人运动规划与路径搜索算法实现工作空间_包含A星Dijkstra等经典与优化算法在二维三维栅格地图中的高效路径规划与避障实现结合RVIZ可视化插件进行实时路径动态障碍.zip
12-02
基于ROS的机器人运动规划与路径搜索算法实现工作空间_包含A星Dijkstra等经典与优化算法在二维三维栅格地图中的高效路径规划与避障实现结合RVIZ可视化插件进行实时路径动态障碍.zip
基于OpenStreetMap开源地理数据与OSRM高性能路由引擎的跨平台智能路径规划系统_集成多模式交通网络分析实时交通流量预测动态避障与多目标优化算法的综合性导航解决方案_.zip
12-02
基于OpenStreetMap开源地理数据与OSRM高性能路由引擎的跨平台智能路径规划系统_集成多模式交通网络分析实时交通流量预测动态避障与多目标优化算法的综合性导航解决方案_.zip
这是一个针对自动驾驶与机器人路径规划领域的开源项目专注于对经典HybridA算法在ROS机器人操作系统框架下的实现代码进行详尽的中文注释与解析_项目核心是对KarlKu.zip
12-02
这是一个针对自动驾驶与机器人路径规划领域的开源项目专注于对经典HybridA算法在ROS机器人操作系统框架下的实现代码进行详尽的中文注释与解析_项目核心是对KarlKu.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值