自制CA证书,自制客户端,服务端证书

最新推荐文章于 2025-03-10 21:05:48 发布
置顶 最新推荐文章于 2025-03-10 21:05:48 发布
阅读量1.5w 收藏 47
点赞数 7
分类专栏: ca https

自制CA证书,客户端、服务端证书

参考资料:HTTPS证书生成原理和部署细节
废话不多讲,我们直入正题。
首先我假设你的系统已经安装了openssl。使用openssl version -a即可查看当前安装的版本。没有安装的请自行百度安装openssl教程。

1.创建目录并授予权限:

在这里插入图片描述
进入ca目录:cd ca
2. 为服务器端和客户端准备公钥、私钥:
① 生成服务器端私钥:

openssl genrsa -out server.key 1024

在这里插入图片描述
② 生成服务器端公钥:openssl rsa -in server.key -pubout -out server.pem
在这里插入图片描述
③ 生成客户端私钥:

openssl genrsa -out client.key 1024

在这里插入图片描述
④ 生成客户端公钥:openssl rsa -in client.key -pubout -out client.pem
在这里插入图片描述
3.生成 CA 证书
① 生成 CA 私钥:openssl genrsa -out ca.key 1024
在这里插入图片描述
② 生成请求文件:openssl req -new -key ca.key -out ca.csr
在这里插入图片描述

注意,这里的 Organization Name (eg, company) [Internet Widgits Pty Ltd]: 后面生成客户端和服务器端证书的时候也需要填写,不要写成一样的!!!

可以随意写如:myca, myserver, myclient。

然后 Common Name (e.g. server FQDN or YOUR name) []: 这一项,是最后可以访问的域名,我这里为了方便测试,写成 localhost
③ 生成ca证书:openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
在这里插入图片描述
4.生成服务器端证书和客户端证书
① 服务器端需要向 CA 机构申请签名证书,在申请签名证书之前依然是创建自己的 CSR 文件:openssl req -new -key server.key -out server.csr
在这里插入图片描述
② 向自己的 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书:openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
在这里插入图片描述
③ 生成client端csr:openssl req -new -key client.key -out client.csr
在这里插入图片描述
④ client 端得到 CA 签名生成client端证书:openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt
在这里插入图片描述
我们的 ca 文件夹下已经有如下内容了:
在这里插入图片描述

记录一下CA自签证书如何生成(linux环境下一般为部署到nginx)
weixin_50936463的博客
10-07 1256
1.生成你想用的服务端证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)1.生成你想用的证书密钥key(我的nginx好像1024不够得2048,如果你的也是这样生成完之后用不了可以先看看nginx的error_log错误日志,一般会说清楚的)openssl x509 -req -in 名字.csr -signkey 名字.key -out 名字.crt。2. 生成完全加密的密钥文件pem。
搞定客户端证书错误,看这篇就够了
数据库技术
10-20 976
1.TLS/SSL 握手基本流程 图片来源于网络 2.案例分享 2.1 CFCA 证书的历史问题 2.1.1背景 某客户为其生产环境的站点申请了一张由 CFCA 签发的证书。相关域名正确配置该证书且启用 HTTPS 后,经测试发现他们的客户端 App 在低版本手机上( iOS < 10.0,Android < 6.0)无法连接到相关站点。 客户端调试发现,控制台会看到证书无效的错误信息(Invalid Certificate 或 Certificate Unknown )。 ..
CA证书制作工具
11-14
非常好用的证书制作工具,内含证书制作文档,绝对能帮助你解决制作简单证书的问题。
制作CA证书
weixin_34007020的博客
10-24 205
 由于一些需要,我们公司内部需要生成自己的  CA,所以这个基本的东西,你,我得会哦!1.安装openssl。我用的是系统是redhat5.8,自带的openssl-0.9.8e-22.el5,。2.修改它的配置文件/etc/pki/tls/openssl.cnf,修改默认CA目录,修改默认的国家,省份等。[ CA_default ] dir             = /etc/pki/CA ...
ca证书服务端证书两者之间的关系
最新发布
like a dog
03-10 657
CA证书用于验证服务端证书的合法性,而服务端证书则用于实际的加密通信。CA证书是根证书,由受信任的证书颁发机构(CA)签发,或者在本例中是自签名的。的关系:CA证书签发服务端证书客户端使用CA证书验证服务端证书的合法性。如果服务端证书由受信任的CA签发,则客户端会信任该证书,并建立安全连接。服务端证书CA证书签发,客户端通过CA证书验证服务端证书的合法性。客户端收到服务端证书后,会使用CA证书的公钥验证服务端证书签名服务端证书中包含CA证书的公钥信息,用于验证其合法性。
自制CA证书
zhenjingcool的博客
03-25 135
参考:https://blog.youkuaiyun.com/zheyiw/article/details/88909697 1 自制CA私钥 mkdir my_ca cd my_ca/ openssl genrsa -des3 -out ca.key 4096 执行过程中,会提示你输入密码。随便输入一个就可以。后续步骤会多次设置密码,最好使用同一个密码,避免忘记 2 自制CA证书 openssl ...
自制CA证书
DerekNg的专栏
04-11 1409
CMD命令()set OPENSSL_CONF=openssl.cnf openssl.exe CA: req -new -x509 -sha512 -nodes -days 3650 -out ca.crt -keyout ca.key pkcs12 -export -inkey ca.key -in ca.crt -out ca.p12 SERVER: req -new -key ser
3.制作CA证书
LiuWei
12-30 731
1.产看CA证书配置文件 vim /etc/pki/tls/openssl.cnf 2.准备环境 创建第一个文件命令:touch /etc/pki/CA/index.txt ;这个文件是用来存放认证的认证数据库,如果不创建会在认证的时候报错,这里可以先创建也可以看到报错信息后在创建 创建第二个文件命令:echo 01 > /etc/pki/CA/serial ;这里存放认证起始...
iOS https 自制证书 单向 双向 验证,以及服务器(Nginx)配置
doubleface999的博客
03-10 2309
一、http和https的区别与原理 介绍原理的博文太多了,这里列出一篇详细的: IOS 使用自签名证书开发HTTPS文件传输 二、证书的类型和自制证书生成 1.什么是数字证书(Certificate) 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够.
keytool制作CA证书以及颁发二级证书
chwang1984的博客
01-31 2489
步骤一:环境准备 1)电脑中部署好以下环境         Tomcat:apache-tomcat-9.0.11         JDK:jdk1.8.0_144      通过地址:http://localhost:8080/   可以正常访问tomcat的猫猫头。 2)tomcat启用https协议功能(后面步骤会介绍如何生成秘钥)     修改server.xml文件(apac...
linux下Tomcat+OpenSSL配置单向&双向认证(自制证书)
White_Lee的专栏
03-22 1176
背景 由于ios将在2017年1月1日起强制实施ATS安全策略,所有通讯必须使用https传输,本文只针对自制证书,但目前尚不确定自制证书是否能通过appstore审核。 1、必须支持传输层安全(TLS)协议1.2以上版本 2、证书必须使用SHA256或更高的哈希算法签名 3、必须使用2048位以上RSA密钥或256位以上ECC算法等等 4、证书必须是V3版本 以上是几个注意点。主要针对ios的ATS策略 ...
利用openssl自制CA证书
09-13
文档中详细介绍了如何利用openssl制作ca证书的步骤 代码则实现可将ca证书安装到浏览器的受信任根证书的功能
CA 证书软件制作
10-20
CA 证书软件制作 汉化软件,可以直接制作ca签名证书,自己已经试过,可以使用
个人数字ca证书制作步骤
03-30
ca证书制作步骤ca证书制作步骤ca证书制作步骤
CA证书制作实战
凉茶铺的博客
07-24 2978
需求自建CA颁发证书使用自签名证书来构建安全网络,所谓自签名证书,就是自己扮演CA机构,自己给自己的服务器颁发证书
openssl创建CA证书教程
justlpf的专栏
09-21 4838
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
自建CA生成证书详解
永远是少年
12-13 6793
今天继续给大家介绍Linux运维相关知识,本文主要内容是自建CA,并对客户CSR进行签名生成证书过程。 一、CA认证中心配置 二、web服务器生成证书请求文件 三、CA认证中心生成证书 四、WEB服务器配置实现https 五、结果验证
自己做CA签名证书生成
02-25 1778
转载自:https://wangbin.io/blog/it/https-ca.html 自己做CA 最近chrome提示https证书错误,缺少subjectAltName,查了下解决方法,更新下。 一. 简介 之前我的博客支持https使用的是向StartCom CA申请签发的一年免费证书。StartCom是受信赖的CA机构,它的根证书被各种操作系统和浏览器内置信任,所以由它签发的证书也会被信任。 最近做了个iOS ipa包上传下载程序,也需要使用https链接,上网查了下...
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
大数据开发、JAVA开发、人工智能AI
01-30 1833
网络知识详解之:CA证书制作实战(Nginx数字证书实战)
百度搜索api 证书验证
02-06
### 百度搜索API证书验证方法及配置教程 在调用百度搜索API时,为了确保通信的安全性和数据传输的保密性,通常会采用SSL/TLS协议来加密连接并进行服务器身份验证。这涉及到客户端服务端提供的SSL证书的有效性校验。 对于启用HTTPS访问模式下的百度搜索API接口而言,支持SSL证书验证,并提供了快速和简便的方式来处理SSL/TLS连接问题[^1]。这意味着开发者可以通过设置HTTP库中的相应参数实现这一功能,在Python环境中可以借助`requests`库完成此操作: ```python import requests url = "https://api.baidu.com/some_endpoint" response = requests.get(url, verify=True) # 默认verify为True表示开启SSL认证 print(response.status_code) ``` 如果需要更细粒度地控制所使用的CA证书文件,则可通过指定路径的方式加载特定的信任根证书列表用于验证过程: ```python import requests url = "https://api.baidu.com/some_endpoint" ca_bundle_path = "/path/to/ca-bundle.crt" response = requests.get(url, verify=ca_bundle_path) print(response.status_code) ``` 此外,当遇到某些特殊场景下可能无法直接获取到有效的公共信任链时(例如内部测试环境),也可以通过创建自签名证书来进行本地调试工作。此时可利用OpenSSL工具集配合Shell脚本来自动化生成所需的各种密钥材料以及相应的X.509格式证书[^2]。 需要注意的是,在生产环境下应始终优先考虑使用由权威机构签发的标准数字证书而非自制版本,以保障系统的整体安全性水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值