创建带SubjectAltName的SSL证书

最新推荐文章于 2025-01-06 16:20:17 发布
原创 最新推荐文章于 2025-01-06 16:20:17 发布 · 960 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#ssl #https #网络协议

这篇博客介绍了如何使用OpenSSL命令行工具生成RSA密钥对、证书请求文件、自签名证书以及配置扩展字段,包括设置主题密钥标识符、权威密钥标识符、基本约束、密钥用途和备用名称等。 
openssl genrsa -out demo.key 2048

openssl req -key demo.key -new -out demo.csr

touch demo.v3.ext

subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer:always
basicConstraints       = CA:TRUE
keyUsage               = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement, keyCertSign
subjectAltName         = DNS:xxx.xxx.xxx.com, DNS:xxx.xxx.xxx.com
issuerAltName          = issuer:copy

openssl x509 -req -in demo.csr -signkey demo.key -out demo.crt -days 8650 -sha256 -extfile demo.v3.ext
tuhuolong
关注
【国密】利用gmssl生成SM2证书nginx访问
nmjuzi的博客
09-10 8603
一、GMSSL安装 # 下载 wget https://github.com/guanzhi/GmSSL/archive/master.zip # 解压 unzip master.zip # 进入目录 cd GmSSL-master # 配置config指定目录 ./config --prefix=/usr/local/gmssl make make install # 查看版本,验证是否安装成功 cd /usr/local/gmssl/ bin/gmssl version # 报错了,这是由于openss
HTTPS】使用OpenSSL生成SubjectAltName的自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
certify:使用“subjectAltName”扩展名创建自签名证书
06-19
证明 Certify 使用“subjectAltName”扩展名创建并自签名 X.509 SSL/TLS 证书。 介绍 首先要做的事情是:如果您想要在面向公众的 https 网站上使用 SSL/TLS 证书,请前往并购买。 这是目前为访问者可靠地验证和加密网站的唯一方法。 网络公钥基础设施的实际安全性。 有些人甚至声称。 但在你只需要吞下它并付钱给大男孩来保护。 尽管如此,对于小型个人项目。 一旦您的浏览器拥有自签名证书的合法副本,您就可以通过加密的 TLS 连接安全地访问该网站。 由于政府控制根证书颁发机构,一些人甚至认为安全分发的自签名证书。 至少,自签名证书成功地避免了以明文形式发送密码。 使用openssl自签名 创建证书的标准工具是openssl命令行实用程序。 首先,您需要一个公钥/私钥对,您可以使用openssl genpkey或openssl genrsa创建它。 然后
k8s ingress配置自签名证书,并解决Kubernetes Ingress Controller Fake Certificate
hknaruto的专栏
08-05 1万+
生成自签名证书 参考https://hknaruto.blog.youkuaiyun.com/article/details/79556245 得到密钥及证书文件:hknaruto.com.key, hknaruto.com.pem 创建k8s secret [yeqiang@localhost openssl-CA]$ kubectl create secret tls hknaruto.com --cert=hknaruto.com.pem --key=hknaruto.com.key -n ..
Nginx 生成、配置SSL证书&让浏览器信任证书
jianghuchuang的博客
11-07 2124
在 OpenSSL 中生成证书时,-CAkey 选项用于指定 CA(证书颁发机构)的私钥文件。这个私钥文件用于签署生成的证书,从而证明证书是由该 CA 颁发的。希望这个示例能帮助你理解如何在 OpenSSL 中使用 -CAkey 选项生成证书。生成完毕后,实际有用的只有 server.key 和 server.crt文件。生成证书时,需要 CA 的私钥来签署 CSR,从而生成最终证书。注:上文是使用自签名方式生成证书,你也可以先证书一个。-CAkey 选项用于指定 CA 的私钥文件。
【openssl学习笔记】SSL Server Cert制作
千里之堤
04-24 1357
openssl req -new -x509 -keyout ca.pem -out ca.crt -config openssl.cfg openssl req -new -key server.pem -config openssl.cfg -out server.csr openssl ca -in server.csr -out server.crt -config openssl
使用openssl创建并签署SSL/TLS证书
走在成长的路上
01-28 2783
希望在生成 SSL/TLS 证书之前,您已经安装有 openssl 以及对 SSL/TLS 有了初步的了解。 概述 本文主要讲述CA的私钥和x509自签名证书的生成,服务器/客户端的私钥和CSR的生成,以及CA对服务器/客户端的CSR签名操作。初始文件包括server-ext.cnf、client-ext.cnf以及gen.sh,相关内容如下: server-ext.cnf subjectAltName=DNS:*.study.com,DNS:*.study.org,IP:0.0.0.0 client-e
Windows 下使用 OpenSSL 命令行创建包含 subjectAltName 扩展项的数字证书
henter的专栏
07-28 5999
1. CA 的基本原理简介(了解相关背景知识的读者请跳过这一部分) 我们回想一下在生活中,两个以前从未谋面的人如何核实对方的身份。由于每一个公民都有派出所颁发的身份证,两个人只要通过查看对方的身份证,就可以大体上知道对方是谁。这个验证身份的过程如下图: 在互联网上,识别陌生实体的思路与上述过程类似。首先建立一个有公信力的认证机构 CA(即Certificate...
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
u011599033的博客
05-06 3620
准备好目录 生成 CA 2.1 生成私钥 openssl ecparam -genkey -name secp256r1 |openssl ec -out private/ca.key.pem 2.2 使用 ECC 算法生成 256 位 CA 私钥 生成自签署证书,类型由 openssl.cnf 中配置的扩展字段指定为 CA 证书类型 openssl req -config openssl.cnf -key private/ca.key.pem -new -x509 -days 7300 -sha2.
SubjectAltName(简称 SAN)是 X.509 数字证书中的一个扩展字段,它允许在单个证书中指定多个身份标识。
wangqiaowq的博客
01-06 604
**通配符证书**:虽然通配符证书(如 `*.example.com`)可以覆盖整个子域,但有时您可能还需要包括不在此通配符模式下的额外域名。- **IP 地址绑定**:某些情况下,特别是当服务没有关联的 DNS 名称时,可以通过 SAN 中的 IP 地址来绑定 SSL/TLS 证书。- **内部和外部域名**:对于既提供公共互联网服务又提供内部网络服务的组织来说,SAN 可以同时包含面向公众的域名和仅供内部使用的域名。2. **IP Address**: 指定一个或多个 IP 地址。
uCA:uCA 是一个微型 CA,它使用 OpenSSL 允许您轻松创建具有多个 SubjectAltNames 的签名证书
05-31
加州大学 uCA 是一个微型 CA,它使用 OpenSSL 允许您轻松创建具有多个 SubjectAltNames 的签名证书 tl;博士 很小的 CA 可以让你做算法确定的 SubjectAltNames,它在 CoreOS 上运行得很好,以防万一,我不知道,你需要某种方式让一堆 Docker 容器相互安全地通信。 为什么 您是否尝试过使用 OpenSSL 的 CA 使用 SubjectAltNames 签署证书? 这是一个巨大的痛苦。 我想要做的就是创建自己的小型内部 PKI,这样我的应用程序就可以相互进行 SSL 相互验证。 他们需要相互信任,但不一定是其他任何事情。 但是,为了使事情易于扩展,我想使其能够拥有,例如,rmq1、rmq2 和 rmq3,并且所有这些都将提供一个证书,该证书也表明主机是 rmq。 . . . . . . . . . . . . . . . . . .
PHP利用Socket获取网站的SSL证书与公钥
10-19
以下是一个示例代码,展示了如何使用PHP的`stream_socket_client`函数创建一个SSL连接,并获取SSL证书和公钥: ```php $context = stream_context_create([ 'ssl' => [ 'capture_peer_cert' => true, 'capture_...
Nginx 下配置 SSL 证书
百度一下 项目学社
05-22 1411
本文将介绍购买 SSL 证书并在 Nginx 配置的姿势。
介绍一下 X.509 数字证书中的扩展项 subjectAltName
henter的专栏
06-09 1万+
在 RFC 5280《Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile》中定义了 X.509 公钥数字证书证书撤销列表的内容和格式。 在 X.509 编码格式的数字证书中,使用 Issuer 子项标明证书的颁发者,I...
使用pyopenssl提取证书中的subjectAltName
村中少年的专栏
08-14 2764
本文介绍一下如何通过Python的pyopenssl模块解析证书subjectAltName
x509-subjectAltName
liudong200618的博客
03-14 1491
x509
如何使用OpenSSL生成SubjectAltName的自签名证书
Crystal360的博客
02-08 1万+
我试图生成一个自签名证书与OpenSSL with SubjectAltName in.While我生成证书的csr,我的猜测是我必须使用OpenSSL x509的v3扩展。我在用 :openssl req -new -x509 -v3 -key private.key -out certificate.pem -days 730有人可以帮我确切的语法吗?Can someone help me w...
OpenSSL证书通过Subject Alternative Name扩展字段扩展证书支持的域名
weixin_31640385的博客
09-15 981
1、概述 1.1 什么是Subject Alternative Name(证书主体别名)   SAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。它允许一个证书支持多个不同的域名。通过使用SAN字段,可以在一个证书中指定多个DNS名称(域名)、IP地址或其他类型的标识符,这样证书就可以同时用于多个不同的服务或主机上。这种灵活性意味着企业不需要...
windows生成ssl证书
最新发布
08-16
<think>我们注意到用户的问题是在Windows系统上生成SSL证书,并且用户之前的上下文是关于在Nginx中配置自签名证书。因此,本回答将专注于在Windows系统上生成自签名SSL证书的步骤,以便用于Nginx配置。 参考引用[2]和[5]提到使用OpenSSL工具在Windows上生成证书。因此,我们将使用OpenSSL来完成这个任务。 ### 步骤1:安装OpenSSL 1. 访问OpenSSL的Windows版本下载页面:https://slproweb.com/products/Win32OpenSSL.html (引用[2]) 2. 下载适合你系统的版本(如Win64 OpenSSL v3.3.1 EXE或MSI) 3. 运行安装程序,按照提示进行安装。注意在安装过程中选择“将OpenSSL的目录添加到系统的PATH环境变量”以便在命令行中使用。 安装完成后,打开命令提示符(cmd)或PowerShell,输入以下命令验证安装: ```cmd openssl version ``` 如果显示版本信息,则表示安装成功。 ### 步骤2:生成自签名证书 1. 创建一个目录来存放证书文件,例如在D盘创建`ssl`目录: ```cmd mkdir D:\ssl cd D:\ssl ``` 2. 生成私钥(server.key): ```cmd openssl genrsa -out server.key 2048 ``` 这里使用RSA算法,密钥长度2048位。 3. 生成证书签名请求(CSR文件): ```cmd openssl req -new -key server.key -out server.csr ``` 在执行此命令时,会提示输入一些信息,包括国家、省份、城市、组织名称等。其中,`Common Name`(常用名)非常重要,应填写你打算使用该证书的域名(例如:localhost或内网IP)。其他信息可以按需填写,也可以直接按回车跳过。 4. 生成自签名证书(CRT文件): ```cmd openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` 这里设置证书有效期为365天。 ### 步骤3:配置Nginx使用证书 将生成的`server.crt`和`server.key`文件复制到Nginx的配置目录中,例如`C:\nginx\conf\ssl`(如果没有ssl目录,请创建)。 然后,在Nginx的配置文件中(如`nginx.conf`或`conf.d`目录下的某个配置文件)添加如下配置: ```nginx server { listen 443 ssl; server_name localhost; # 或你的域名 ssl_certificate conf/ssl/server.crt; ssl_certificate_key conf/ssl/server.key; # 其他配置... } ``` ### 步骤4:重启Nginx并测试 1. 重启Nginx服务: ```cmd nginx -s reload ``` 或者如果Nginx是作为服务运行的,可以在服务管理器中重启。 2. 在浏览器中访问`https://localhost`(或你配置的域名),由于是自签名证书,浏览器会显示不安全警告,此时可以手动信任该证书(方法见下文)。 ### 客户端信任证书(以Windows为例) 1. 双击生成的`server.crt`文件,打开证书对话框。 2. 点击“安装证书”,选择“本地计算机”,点击“下一步”。 3. 选择“将所有证书放入下列存储”,点击“浏览”,选择“受信任的根证书颁发机构”,点击“确定”。 4. 点击“下一步”,然后点击“完成”。 ### 验证 再次访问`https://localhost`,浏览器将不再显示安全警告。 ### 相关问题 1. 如何为多个域名(SAN)生成自签名证书? 2. 如何在Windows上使用keytool生成SSL证书(如引用[3])? 3. 如何配置Nginx同时支持HTTP和HTTPS? 4. 如何将证书转换为其他格式(如PFX)? 5. 如何自动续签自签名证书? > 注意:自签名证书仅适用于测试或内网环境,公网服务应使用受信任的CA颁发的证书[^1]。 [^1]: 在 Windows 上生成本地 SSL 证书并使用 HTTPS 访问本地 Nginx 服务器。 [^2]: 环境 Windows、Linux, 证书我是在Windows上生成的自签证书。 [^3]: windows环境+tomcat:生成https协议的SSL证书。 [^4]: windows生成自定义签名SSL证书并配置Nginx。 [^5]: windows openssl局域网生成ssl证书。</think>### 在 Windows 系统上生成 SSL 证书的完整指南 #### 方法一:使用 OpenSSL(推荐) 1. **安装 OpenSSL** - 下载 [OpenSSL for Windows](https://slproweb.com/products/Win32OpenSSL.html)(选择最新 EXE 或 MSI 版本) - 安装时勾选 **"Add OpenSSL to the system PATH"**(添加环境变量)[^2] 2. **生成证书** ```cmd :: 创建证书目录 mkdir C:\ssl cd C:\ssl :: 生成私钥(2048位RSA加密) openssl genrsa -out server.key 2048 :: 生成证书签名请求(CSR) openssl req -new -key server.key -out server.csr ``` 填写信息时需注意: ``` Common Name (eg, your name or server's hostname) []: localhost # 必须填写访问域名 ``` 3. **生成自签名证书(CRT文件)** ```cmd :: 生成有效期为10年的证书 openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt :: 查看证书信息 openssl x509 -in server.crt -text -noout ``` #### 方法二:使用 Java Keytool(适合 Java 环境) ```cmd :: 生成PKCS12格式密钥库 keytool -genkeypair -alias myserver -keyalg RSA -keysize 2048 -validity 3650 -keystore C:\ssl\keystore.p12 -storetype PKCS12 :: 导出CRT证书文件 keytool -exportcert -alias myserver -keystore C:\ssl\keystore.p12 -file C:\ssl\server.crt -rfc ``` #### 证书文件说明 | 文件扩展名 | 用途 | 安全等级 | |------------|-------------------------------|----------| | `.key` | 私钥文件(必须严格保密) | 🔒🔒🔒 | | `.crt` | 公钥证书(可公开分发) | 🔒 | | `.csr` | 证书签名请求(用于CA申请) | - | | `.p12` | PKCS12格式密钥库(含私钥) | 🔒🔒🔒 | #### 配置 Nginx 使用证书 ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate C:/ssl/server.crt; ssl_certificate_key C:/ssl/server.key; # 其他配置... } ``` #### 信任证书(解决浏览器警告) 1. 双击 `server.crt` 文件 2. 点击 **"安装证书"** → **"本地计算机"** 3. 选择 **"受信任的根证书颁发机构"** 4. 完成导入后重启浏览器[^1] #### 验证证书有效性 ```cmd :: 检查证书信息 openssl x509 -in C:\ssl\server.crt -text -noout :: 测试HTTPS连接(使用Git Bash) curl -v -k https://localhost ``` ### 常见问题解决 1. **证书不受信任警告** - 确保将证书导入到 **"受信任的根证书颁发机构"** - 浏览器缓存清理后重试 2. **Nginx 报错 "SSL: error:0B080074"** - 检查文件路径:Windows 使用正斜杠 `/` 或双反斜杠 `\\` - 验证私钥与证书是否匹配: ```cmd openssl x509 -noout -modulus -in server.crt | openssl md5 openssl rsa -noout -modulus -in server.key | openssl md5 ``` 两个 MD5 值必须相同[^4] 3. **SAN(主题备用名称)支持** 创建 `san.conf` 文件: ```ini [req] distinguished_name = req_distinguished_name req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = localhost IP.1 = 192.168.1.100 ``` 生成命令: ```cmd openssl req -new -key server.key -out server.csr -config san.conf ``` ### 相关问题 1. 如何为局域网 IP 地址生成 SSL 证书? 2. 如何将 PFX/PKCS12 证书转换为 KEY+CRT 格式? 3. 自签名证书和 CA 签名证书有何本质区别? 4. 如何配置 Chrome 浏览器永久信任自签名证书? 5. 证书过期后如何无缝续期不影响服务? > 提示:自签名证书适合开发和内网环境,生产环境建议使用 [Let's Encrypt](https://letsencrypt.org/) 免费证书。对于需要多设备信任的场景,可通过组策略批量部署证书[^5]。 [^1]: 在 Windows 上生成本地 SSL 证书并使用 HTTPS 访问本地 Nginx 服务器 [^2]: 环境 Windows、Linux, 证书我是在Windows上生成的自签证书 [^3]: windows环境+tomcat:生成https协议的SSL证书 [^4]: windows生成自定义签名SSL证书并配置Nginx [^5]: windows openssl局域网生成ssl证书
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值