利用OpenSSL创建自签名的SSL证书

最新推荐文章于 2024-11-23 21:34:08 发布
最新推荐文章于 2024-11-23 21:34:08 发布
阅读量177 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 操作系统
原文链接:https://my.oschina.net/wayhk/blog/491958
本文详细介绍了在Linux服务器上使用OpenSSL工具创建SSL证书的过程,包括创建根证书和网站SSL证书的具体步骤,以及如何解决客户端信任根证书的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么80%的码农都做不了架构师?>>>   hot3.png

本来想使用Windows下的makecert实用工具创建的,结果折腾了很久导入到Linux服务器上,服务器没有正确识别,遂放弃,转而使用OpenSSL,收集了网上的一些材料,通过下面的方法创建成功:

1. SSH登录到服务器,使用下述命令创建根证书的私匙:

openssl genrsa -out ca.key 2048

网上很多是使用了1024,我这里强度加强到了2048。

2. 利用私钥创建根证书:

openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj \"/C=CN/ST=Jiangsu/L=Yangzhou/O=Your Company Name/OU=Your Root CA"

这 里/C表示国家(Country),只能是国家字母缩写,如CN、US等;/ST表示州或者省(State/Provice);/L表示城市或者地区 (Locality);/O表示组织名(Organization Name);/OU其他显示内容,一般会显示在颁发者这栏。

到这里根证书就已经创建完毕了,下面介绍建立网站SSL证书的步骤:

3. 创建SSL证书私匙,这里加密强度仍然选择2048:

openssl genrsa -out server.key 2048位

4. 利用刚才的私匙建立SSL证书:

openssl req -new -key server.key -out server.csr -subj \"/C=CN/ST=Jiangsu/L=Yangzhou/O=Your Company Name/OU=wangye.org/CN=wangye.org"

这里需要注意的是,/O字段内容必须与刚才的CA根证书相同;/CN字段为公用名称(Common Name),必须为网站的域名(不带www);/OU字段最好也与为网站域名,当然选择其他名字也没关系。

5. 做些准备工作:

mkdir demoCAcd demoCAmkdir newcertstouch index.txtecho '01' > serialcd ..

注意cd ..,利用ls命令检查一下是不是有个demoCA的目录。

6. 用CA根证书签署SSL自建证书:

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

接下来有一段提示,找到Sign the certificate? [y/n]这句,打入y并回车,然后出现out of 1 certificate requests certified, commit? [y/n],同样y回车。

好了,现在目录下有两个服务器需要的SSL证书及相关文件了,分别是server.crt和server.key,接下来就可以利用它们配置你的服务器软件了。

需要注意的是由于是自签名证书,所以客户端需要安装根证书,将刚才第2步创建的根证书ca.crt下载到客户端,然后双击导入,否则会提示不受信任的证书发布商问题。

通常情况下私人或者内部用的话,自建证书已经绰绰有余了,但是如果你的产品面向的是大众,那就花点银子去买正规的SSL证书吧,可不能学某售票系统强制要求安装自建的根证书哦。


转载于:https://my.oschina.net/wayhk/blog/491958

OpenSSL创建SSL证书
悦分享
06-03 5532
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
openssl 生成自签名证书 并配置ssl
小鱼儿的博客
04-27 830
××××生成跟CA****** openssl req -new -x509 -days 3650 -keyout privatekey.pem -out CARoot.crt  openssl rsa -in privatekey.pem -out privatekey.pem   //去掉密码 中间我出现了unable to write 'random state',查了很多,基本上
openssl创建自签名证书
fc66ds1001的博客
11-07 404
1. SSH登录到服务器,使用下述命令创建证书的私匙: openssl genrsa -out ca.key 2048 网上很多是使用了1024,我这里强度加强到了2048。 2. 利用私钥创建证书openssl req -new -x509 -days 36500 -key ca.key -out ca.
使用OpenSSL生成自签名SSL证书
热门推荐
锐意工作室
04-21 3万+
文章目录使用OpenSSL生成自签名SSL证书参考文档检查OpenSSL生成自签名SSL证书和私钥第一步:生成私钥第二步:去除私钥中的密码第三步:生成CSR(证书名请求)第四步:生成自签名SSL证书在Server中配置在浏览器中访问注意 使用OpenSSL生成自签名SSL证书 参考文档 https://www.linuxtweaks.in/create-a-self-signed-ssl-c...
openssl生成SSL使用的私钥和证书,并自己做CA
无与伦比BLOG
04-19 8495
本文记叙的是一次基于SSL的socket通讯程序开发中,有关证书名,身份验证相关的步骤。 我们的场景下,socket服务端是java语言编写的,客户端是c语言。使用了一个叫做matrixssl的c语言库。自己做CA名,不等同于“自签名”。 自签名的情况,RSA的公钥私钥只有一对,用私钥对公钥证书名。而我们的场景是,自己做CA,有一个CA的公钥私钥对。 而socket的服务端也有一个
利用Openssl制作自签名证书
Geoffrey's Blog
11-12 5945
利用Openssl制作自签名证书在apache或者nginx启用HTTPS后,需要加密证书才能正常工作。我们现在可以利用OpenSSL工具简单快速的创建一个自签名证书
如何使用OpenSSL创建自签名证书
sqqqqq77的博客
09-19 619
使用OpenSSL创建自签名证书
利用openssl生成自签名SSL证书
自签名SSL证书是由网站自行颁发的SSL证书,不需要经过权威机构认证。 ## 1.1 SSL证书的作用 SSL证书可以保护网站的数据传输过程,防止敏感信息在传输过程中被窃取。它还可以验证网站的身份,确保用户访问的是合法...
Rockey Linux下OpenSSL制作自签名CA证书应用
07-13
本文将详细介绍如何在Rocky Linux环境下利用OpenSSL工具来生成自签名的CA证书,并应用于Web服务。 #### 一、系统环境与工具准备 1. **生成工具**: OpenSSL版本为3.0.7(1 Nov 2022),库版本同样为3.0.7。 2. **生成...
如何通过OpenSSL创建自签名的CA证书
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
11-23 1995
如何利用该根证书署其他证书(即子证书),包括服务器证书和其他类型的证书;介绍客户端验证整个证书链的详细过程。
使用OpenSSL生成证书
All Nonsense
04-27 1563
摘自网络  首先得安装OpenSSL软件包openssl,安装了这个软件包之后,我们可以做这些事情:  o  Creation of RSA, DH and DSA Key Parameters # 创建密钥 key  o  Creation of X.509 Certificates, CSRs and CRLs # 创建证书  o  Calculation of Mes
ubuntu用openssl生成私钥和证书步骤
KevinLiu's Notes
01-21 1万+
以下简介引用自百度文库: “ OpenSSL一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的
OpenSSl生成SSL证书(支持https)
liuwei0376的专栏
05-15 1万+
原文链接:https://blog.51cto.com/shhlamp/2120022 转载请注明出处! --------------------------------------------------------------------------------------------- 一:环境与安装说明 WIN7_64,Nginx服务器,OpenSSL_Win64。...
使用openssl生成ssl(https)证书
weixin_34358092的博客
08-05 1050
openssl生成证书 [nginx@machina key]$ pwd/app/nginx/key 生成私钥openssl genrsa -out server.key 2048 生成证书请求openssl req -new -key server.key -out server.csr 填入信息 [nginx@machina key]$ openssl req -new -key serv...
openssl 生成 证书
逆雪寒的天坑
05-23 2267
x509证书一般会用到三类文,key,csr,crt。 Key 是私用密钥openssl格,通常是rsa算法。 Csr 是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来署申,还可以设定一个密钥。 crt是CA认证后的证书文,(windows下面的,其实是crt),署人用自己的key给你署的凭证。    1.key的生成  opens
linux下使用openssl生成自签名,配置单向认证,实现https加密请求的方法
干勾鱼的优快云博客
06-27 8753
我们都知道http请求是明文传输,也就意味着数据交互传输是不安全的,极有可能被截获,也有可能被篡改,使用https请求已经是一个大趋势了。今天就来讲讲通过自签名自己实现https请求的实现方法。 Ingredient: linux:Ubuntu 18.04 LTS(cat /etc/issue) opensslOpenSSL 1.1.0g 2 Nov 2017(openssl versi...
FreeSWITCH 使用SSL-WebSocket-WebRTC
weixin_30323631的博客
11-14 1328
阿里上买的域名, 申请了个免费ssl, 然后开始折腾,,,, 申请了ssl证书, 但是不提供 .pem 格式的下载(*/ω\*) 然后 把一堆 提供的 都下载下来了, 然后 又到网上 搜 crt/cer 等格式 转 pem格式..... 然后 看到有说 cer/crt 就是 pem格式的, 耶(^-^)V, 这么轻松!!!? 改扩展名, 放入cert 文件夹, 重启 FreeSWITC...
利用OpenSSL创建自签名SSL证书备忘
weixin_34037173的博客
06-11 127
from: http://wangye.org/blog/archives/732/之前申请的StartSSL免费一年的证书到期了,考虑到我对SSL一般仅用于博客登录和后台管理上面,所以不打算续申请,自己创建一个就足够了。本来想使用Windows下的makecert实用工具创建的,结果折腾了很久导入到Linux服务器上,服务器没有正确识别,遂放弃,转而使用OpenSSL,收集...
freeswitch 配置openssl
ssj901217的博客
04-20 2092
修改conf/sip_profiles/internal.xml配置   <span style="color:#ff0000"> </span> <!-- TLS: disabled by default, set to "true" to enable --> <param name="tls" value="true&
如何通过OpenSSL创建自签名SSL证书并将其部署到Nginx服务器中?请提供详细步骤。
11-12
在保护服务器通信安全方面,使用OpenSSL创建自签名SSL证书并将其部署到Nginx服务器是一个常见但关键的操作。为了解决这个问题,建议参考《OpenSSL实战指南:透彻解析与常用命令》,这本官方推荐的书籍由安全专家Ivan Ristić撰写,它提供了全面的指南和实用的命令行操作示例。 参考资源链接:[OpenSSL实战指南:透彻解析与常用命令](https://wenku.youkuaiyun.com/doc/1bhic9kwmy?spm=1055.2569.3001.10343) 首先,创建自签名SSL证书的步骤如下: 1. 打开终端或命令行界面。 2. 使用openssl命令生成私钥。命令格式为:`openssl genrsa -out server.key 2048`,其中`server.key`是生成的私钥文件名,`2048`是密钥的长度。 3. 利用生成的私钥创建CSR(证书名请求)。命令格式为:`openssl req -new -key server.key -out server.csr`,系统会提示你输入公司信息和其他证书详情。 4. 最后,使用CSR和私钥生成自签名SSL证书。命令格式为:`openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt`,其中`server.crt`是生成的证书文件名,`365`代表证书的有效期限(天数)。 接下来,将证书部署到Nginx服务器的步骤如下: 1. 配置Nginx以使用SSL。在Nginx的配置文件(通常位于`/etc/nginx/nginx.conf`或`/etc/nginx/sites-available/default`)中,指定证书和密钥的路径。例如: ``` server { listen 443 ssl; server_***; ssl_certificate /path/to/your/server.crt; ssl_certificate_key /path/to/your/server.key; ssl_session_timeout 5m; ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256'; ssl_prefer_server_ciphers on; location / { # ... } } ``` 2. 确保Nginx配置文件无误后,重载Nginx服务使配置生效。通常使用命令:`sudo nginx -s reload`。 3. 访问你的网站,检查是否能够通过HTTPS成功访问。 通过以上步骤,你将成功地创建一个自签名SSL证书,并将其部署到Nginx服务器上,以启用安全的HTTPS访问。为了进一步加强你的网络安全知识,推荐继续阅读《OpenSSL实战指南:透彻解析与常用命令》,它不仅涵盖了生成和管理证书的细节,还包括了网络安全的其他高级主题,帮助你建立更强大的防御机制。 参考资源链接:[OpenSSL实战指南:透彻解析与常用命令](https://wenku.youkuaiyun.com/doc/1bhic9kwmy?spm=1055.2569.3001.10343)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值