自签文档签名证书

最新推荐文章于 2024-04-01 16:04:31 发布
最新推荐文章于 2024-04-01 16:04:31 发布
阅读量577 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 数字证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42899518/article/details/96425216
本文档详细介绍了如何自签文档签名证书,包括生成根证书及自签名证书、使用根证书颁发证书,以及查看证书信息的步骤。关键操作涉及openssl命令行工具,如genrsa、req、x509等,用于创建和管理证书。请注意,自签证书不在可信根证书列表中,需手动将其添加为可信。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

自签文档签名证书

因为文档签名证书的密钥用法有:nonRepudiation, digitalSignature

所以可以在openssl.cnf文件中设置keyUsage = nonRepudiation, digitalSignature, keyEncipherment

1.生成根证书及自签名证书

  • 1.创建根证书私钥

    openssl genrsa -out root.key 1024

  • 2.创建根证书请求文件

    openssl req -new -out root-req.csr -key root.key -keyform PEM

  • 3.自签根证书

    openssl x509 -req   -extfile openssl.cnf -extensions v3_req  -in root-req.csr -out root-cert.cer -signkey root-key.key -CAcreateserial -days 3650

    重要说明: -extfile openssl.cnf -extensions v3_req  参数是生成 X509 V3 版本的证书的必要条件。 openssl.cnf  是系统自带的OpenSSL配置文件,该配置文件默认开启 X509 V3 格式。下同。

  • 4.导出P12格式证书

    openssl pkcs12 -export -clcerts -in root-cert.cer -inkey root-key.key -out root.p12

2.使用根证书颁发证书

  • 1.生成证书Key

    openssl genrsa -out client-key.key 1024

  • 2.生成证书请求文件

    openssl req -new -out client-req.csr -key client-key.key

  • 3.生成证书,并使用根证书签名

    openssl x509 -req -extfile /etc/pki/tls/openssl.cnf -extensions v3_req -in client-req.csr -out client-cert.cer -signkey client-key.key -CA root-cert.cer  -CAkey root-key.key -CAcreateserial -days 3650

  • 4.生成客户端P12格式的证书

    openssl pkcs12 -export -clcerts -in client-cert.cer -inkey client-key.key -out client.p12

3.查看证书信息

openssl x509  -in client-cert.cer -text -noout

**注意:**因为是自签证书,所以不在计算机的可信根证书列表中,所以需要我们将根证书添加到可信根证书中。

【mkcert】生成自签名证书
欢迎你们到来,希望能帮到大家
04-10 329
说明:1、自签名证书会提示https不安全,因为不是正规域名机构颁发2、政务微信不支持自签名证书生成的.pem格式3、目前仅支持“DER编码二进制X.509”格式的HTTPS证书,可通过IE浏览器或者谷歌浏览器导出此格式。4、最后将浏览器导出来的crt证书发送给政务微信配置即可。
给域名配置https自签名证书
就写一行代码
01-19 2014
本文为博主原创 转载请注明出处 尊重一下笔者的劳动成果 十分感谢 前言 因为最近一个项目卡在了https的证书上,与合作方沟通几天仍没有解决,故而大boss让研究一下,但是本人对https配置这证书完全没有接触过,知之甚少,接到这个任务其实是一头蒙的,但是大boss扔过来一个博客链接 让我参考 配置一下https 不得不从啊 所以先按照配置来哇 正文 最开始看小程序的文档 ios不支持自...
4步完成创建自签名证书并对可执行文件进行签名
心雨楼
09-27 1796
很多安装包都有签名,也可以说是为了防止他人恶意纂改倒不如说是为了让杀毒软件认为是安全的而不把你的东西干掉,当然一般自签名的人家也不认,需要付费买人家的根证书进行签名,最讨厌那些什么0的杀毒了,好不容易制作个安装包让客户安装还被恶意毒杀这让人情何以堪啊。流氓软件前进的步伐人类已经无法阻挡,只有外星人三体世界才能拯救人类了。 windows地下自然是使用自带的工具了,安装了windows sdk 或...
CA策略发布目录SPC
yhl4k的博客
03-31 5044
CA策略发布目录(CPS) 什么是PKI 公钥基础设施(PKI)是基于公钥理论和技术建立的网络信息安全技术体系,是一种遵循标准的、为用户提供公钥证书管理、密钥管理、网络信息安全应用或安全管理的基础设施。它为网络内实体的认证、证书管理、数字签名、数据加密和网络信息的机密性、真实性、完整性、不可否认性与存取控制等安全需求提供了具有普适性的基础技术。它属于国家信息安全标准之一。PKI架构包括网络基础设施、安全支撑平台、应用支撑平台、安全业务应用和系统安全管理等。由于该系统是用公钥密码体制和技术来提供和实施安全
密码学专题 openssl的基本概念
CHYabc123456hh的博客
11-15 2918
配置文件 配置文件是OpenSSL的一个基础结构组件,OpenSSL使用一组称为OpenSSLCONF的函数来读取OpenSSL配置文件的信息。OpenSSL提供的主配置文件是opensl.cnf,它集成了OpenSSL所要使用的配置文件选项的大部分内容。此外,OpenSSL还提供了其他一些部分的配置文件,用于专门配置证书请求或者X.509v3证书的扩展项。 OpenSSL的配置文件使用字段的概念分成不同的部分。一般来说,每个字段的开始使用[Section_Name]来标识,直到下一个字段开始或者到达文
密钥用法 增强密钥用法 证书类型
天行健,君子以自强不息;地势坤,君子以厚德载物。
04-27 6212
密钥用法:数字签名 Digital Signature认可签名 Non Repudiation密钥加密 key Encipherment数据加密 Data Enciphe...
openssl私有CA实现及私有证书
donghaixiaolongwang的博客
02-18 2876
当你用到私有CA自证书的时候,那意味着你的数据需要加密了(在互联网上或者其他使用场景下传输数据)。  要想做到数据安全必须具备以下因素:数据的机密性(数据在传输的过程中必须加密,一般用对称加密算法)、数据的完整性(数据传输过程中不能出错或者被人修改,一般用单项加密算法)、身份认证(明确数据传输双方身份,一般用公钥加密)。 证书是怎么被使用的呢? 以https为例,用户(浏览器端)向服务
独家全新2021超级签名源码超级ios分发签名端本地linux服务器完成签名带部署文档
05-12
【iOS分发签名】是iOS应用发布的关键步骤,它涉及到对应用程序的IPA文件进行数字签名,确保应用的来源可信,并且只有拥有正确证书的开发者才能安装和更新应用。在这个过程中,需要用到Apple Developer账号以及相应的...
linux 外网IP配置tomact配置ssl自证书
hdxywjyyjw的博客
04-01 781
linux 外网IP配置tomact配置ssl自证书
生成自签名证书
weixin_42241611的博客
09-25 536
注意要在 TiDB 客户端与服务端间通信开启加密传输,你只需配置auto-tls参数。本文档提供使用openssl生成自签名证书的一个示例,用户也可以根据自己的需求生成符合要求的证书和密钥。
【实用工具系列】(7)使用OpenSSL创建证书
砥砺前行
10-13 1728
最近在做PDF签名相关的功能,其中需要使用证书签名。于是参考OpenSSL和其他网络文章,作成了一些方便的脚本文件来创建CA证书和终端证书
我实践:自建CA及证书颁发(openssl)
超级无敌棒棒糖
09-30 1277
文章目录1 搭建CA1.1 建立CA目录与文件1.2 生成CA私钥及证书1.3 证书颁发之配置文件准备openssl.cnf2 颁发证书2.1 用户自己生成秘钥与证书请求(可以在自己的PC上完成)2.2 CA服务器颁发证书2.3 变量方式方便点:2.4 例子2.5 错误:2.6 v3扩展说明证书请求中添加v3扩展:在CA证书颁发时启用v3扩展总结另:3 吊销证书4 更新吊销证书列表5 客户端安装ca证书6 自签名证书和私有CA签名证书的区别7 good8 openssl.cnf: 用心之作,用openss
Openssl v3证书 配置文件
shareinfo2018
09-17 1630
openssl
国密证书的制作
一个致力于开源代码学习、分析和交流的博客
02-22 1309
本文描述了国密测试证书的制作方法
利用OpenSSL实现私有 CA 搭建和证书颁发
写Bug的小白的博客
08-13 1385
如果需要实现一个申请文件申请多个证书的方法,需修改 “index.txt.attr” 文件,设置 unique_subject = yes。.pem # Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…"开头, "-----END….csr # Certificate Signing Request,证书签名请求证书申请文件的标识 证书申请完成后,这个证书申请文件就没啥用了。.key # 私钥的标识 .pem也是私钥的标识,但是windows不是别pem结尾的文件。
openssl 自建ca之脚本自动
都市桃源
09-18 1596
openssl 自建ca之脚本自动发自建caopenssl安装配置安装配置重中之重windows配置linux配置新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章U...
证书类型
Himire的专栏
03-01 5854
密钥用法 仅仅加密 Encipher Only 仅仅解密 Decipher Only 数字签名 Digital Signature 认可签名 Non Repudiation 密钥加密 key Encipherment  数据加密 Data Encipherment 密钥协商 key Agreement 证书签名 Key CertSign CRL 签名 Crl Sign 增强密钥用法  Mic...
javaweb数字证书_纯Java实现数字证书生成签名的简单实例
weixin_34173125的博客
01-14 821
package com.ylsoft.cert;import java.io.file;import java.io.fileinputstream;import java.io.fileoutputstream;import java.io.ioexception;import java.security.invalidkeyexception;import java.security.keyp...
通过OpenSSL获取证书扩展属性之二:“密钥用法”和"增强型密钥用法"
热门推荐
密码开发者
09-10 1万+
介绍如何使用Openssl解析CA证书、获取“密钥用法”和“增强型密钥用法”扩展属性。
证书
最新发布
04-25
<think>好的,用户想了解如何创建和使用自签名SSL证书。之前他们问过关于在Windows上配置Apache的SSL证书,现在转向生成和使用自证书。首先,我需要结合用户提供的三个引用来整理步骤,但要注意用户的需求可能与引用中的内容不完全一致,比如用户可能是在Windows环境下操作,而引用1和2主要针对Linux和Nginx,引用3提到了宝塔和Windows。 首先,用户需要生成自签名证书的基本步骤,这可能包括生成私钥、创建CSR、自证书。引用1提到了使用openssl req命令生成自签名证书,其中包含了-x509参数,而引用2则详细介绍了生成key、csr、crt的过程,还提到了去除密码的步骤。用户可能需要跨平台的信息,比如在Linux和Windows下如何操作。 然后,用户可能需要配置服务器使用这些证书,比如Apache或Nginx。之前的对话中用户配置的是Apache,但这次的问题更通用。需要区分不同服务器的配置方法,比如Apache的SSLCertificateFile和Nginx的ssl_certificate。 另外,用户可能关心如何避免浏览器警告,因为自证书不被信任,引用2提到了这一点,但可能需要更详细的说明,比如如何将证书导入到受信任的根证书颁发机构。 还需要考虑常见问题,比如证书有效期、密钥长度、密码保护等。引用1提到使用-nodes参数避免密码保护,引用2提到生成后移除密码的步骤。用户可能需要知道这些细节,以确保服务器能够自动加载证书而无需手动输入密码。 此外,引用3提到了宝塔面板和Windows安装证书的方法,但用户的问题更关注自证书的生成和使用,可能需要简要提及这些工具,但重点放在命令行操作上。 最后,用户可能需要验证证书是否正确安装,比如使用浏览器检查或命令行工具如curl。此外,安全方面的注意事项,比如自证书的局限性,仅适用于测试环境等,也需要提及。 现在需要将这些信息整合成清晰的步骤,涵盖生成证书、配置服务器、安装到系统信任库、验证等。同时要确保命令的正确性,路径的正确处理,以及不同操作系统的差异,比如Windows中使用OpenSSL可能需要额外安装,而Linux通常自带。 需要注意用户可能混淆了不同服务器的配置步骤,比如将Nginx的配置应用到Apache上,所以需要明确区分。同时,用户可能对证书链的概念不太清楚,需要解释自证书不需要中间证书,因此配置时可能只需指定证书文件和私钥。 还要考虑到用户可能遇到的常见问题,如权限问题、路径错误、端口配置等,提供相应的解决建议。例如,引用中提到端口443被占用,这在配置服务器时需要注意。 总之,回答需要结构清晰,分步骤说明生成和使用自证书的过程,涵盖不同平台和服务器类型,指出注意事项和常见问题,并最后给出相关问题供用户进一步学习。</think>### 分步指南:创建和使用自签名SSL证书 #### 1. **生成自签名证书** 自签名证书无需通过证书颁发机构(CA)验证,适用于测试或内部环境。 ##### **步骤1:生成私钥** 使用OpenSSL生成RSA私钥文件(默认长度2048位): ```bash openssl genrsa -out server.key 2048 ``` - **参数说明**: - `genrsa`:生成RSA私钥 - `-out`:指定输出文件名 - `2048`:密钥长度(推荐至少2048位) ##### **步骤2:创建证书签名请求(CSR)** 生成CSR文件(需填写证书信息): ```bash openssl req -new -key server.key -out server.csr ``` - **填写示例**: ``` Country Name (2 letter code) []:CN State or Province Name (full name) []:Beijing Locality Name (eg, city) []:Beijing Organization Name (eg, company) []:Test Corp Common Name (eg, your name or server's hostname) []:localhost # 必须与域名或IP匹配 ``` ##### **步骤3:生成自签名证书** 使用私钥直接证书(有效期365天): ```bash openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` - **关键参数**: - `-x509`:生成自签名证书(而非CSR) - `-days 365`:证书有效期 - `-signkey`:使用私钥直接签名[^1][^2] --- #### 2. **配置服务器使用证书** 根据服务器类型选择配置方式: ##### **Nginx配置示例** ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_protocols TLSv1.2 TLSv1.3; # 禁用旧协议提升安全性 } ``` ##### **Apache配置示例** ```apache <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key SSLProtocol All -SSLv2 -SSLv3 # 禁用不安全协议 </VirtualHost> ``` ##### **Windows IIS配置** 1. 将 `.crt` 和 `.key` 转换为 `.pfx` 格式: ```bash openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt ``` 2. 在IIS管理器中导入 `.pfx` 文件并绑定到网站[^3]。 --- #### 3. **解决浏览器安全警告** 自签名证书会被浏览器标记为“不安全”,需手动添加到信任列表: 1. **导出证书**:将 `server.crt` 文件导出为 `.cer` 格式。 2. **导入到系统**(以Windows为例): - 双击 `.cer` 文件 > 选择“安装证书” > 存储位置选“受信任的根证书颁发机构”。 3. **重启浏览器**:访问 `https://localhost` 将显示“安全”锁形图标。 --- #### 4. **高级配置与优化** - **去除私钥密码**(避免服务重启需输入密码): ```bash openssl rsa -in server.key -out server_unencrypted.key ``` - **合并证书链**(如需中间证书): ```bash cat server.crt intermediate.crt > fullchain.crt # 将中间证书追加到主证书 ``` - **自动化续期**(通过脚本定期更新证书): ```bash # 示例脚本(需替换实际路径) openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt systemctl restart nginx # 重启服务生效 ``` --- ### 常见问题解决 - **错误:`SSL_ERROR_BAD_CERT_DOMAIN`** **原因**:证书的Common Name(CN)与访问的域名不匹配。 **解决**:重新生成证书,确保CN字段为实际域名或IP。 - **错误:`ERR_SSL_VERSION_OR_CIPHER_MISMATCH`** **原因**:服务器SSL协议或加密套件配置过时。 **解决**:在配置中禁用SSLv3,启用TLSv1.2+: ```nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers EECDH+AESGCM:EDH+AESGCM; ``` - **性能优化** **启用OCSP Stapling**(减少证书验证延迟): ```nginx ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 valid=300s; ``` --- ### 相关问题 1. 如何为多域名(SAN)生成自签名证书? 2. 自签名证书与CA签名证书在加密强度上有何区别? 3. 如何通过Let’s Encrypt获取免费可信证书? 4. 自签名证书在移动端(Android/iOS)如何信任? --- [^1]: OpenSSL官方文档 [^2]: Nginx SSL配置指南 [^3]: Windows Server IIS管理手册
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值