使用 OpenSSL 创建ssl自签名证书

原创 已于 2022-03-30 20:35:13 修改
· 9k 阅读 · 36 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2022-03-30 20:13:05 首次发布
本文详细介绍如何使用OpenSSL创建自签名SSL证书,包括创建过程、优缺点及应用场景,适合需要私有化部署SSL证书的场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近工作中需要创建私有化的ssl签名证书,以前使用的都是申请的免费的,没有了解过这方面的信息,经过查阅各种资料,加上数次测试,终于搞定了,一起来看看吧

什么是签名证书

自签名证书是未经公共或私有证书颁发机构签名的 SSL/TSL 证书。相反,它由创建者自己的个人或根 CA 证书签名。

这里借用一下大哥uncle的巨作,一篇文章了解数字证书

为了一个HTTPS,浏览器操碎了心

申请付费ssl证书流程

此处从https://devopscube.com/create-self-signed-certificates-openssl/借图

  1. 使用私钥创建 证书签名请求 (CSR) 。CSR 包含有关位置、组织和 FQDN(完全限定域名)的详细信息。
  2. 将 CSR 发送给受信任的 CA 机构。
  3. CA 机构将向您发送由其根证书机构和私钥签署的 SSL 证书。
  4. 然后,您可以验证 SSL 证书并将其用于您的应用程序。

创建自签名证书流程

 此处从https://devopscube.com/create-self-signed-certificates-openssl/借图

  1. 创建我们自己的根 CA 证书和 CA 私钥(我们自己充当 CA)
  2. 创建服务器私钥以生成 CSR
  3. 使用我们的根 CA 和 CA 私钥创建带有 CSR 的 SSL 证书。
  4. 在浏览器或操作系统中安装 CA 证书以避免安全警告。

使用 OpenSSL 创建自签名证书基本流程

  1. 搞一个虚拟的CA机构,生成一个证书
  2. 生成一个自己的密钥,然后填写证书认证申请,拿给上面的CA机构去签名
  3. 于是就得到了自(自建CA机构认证的)签名证书

1.创建一个目录openssl来保存所有生成的密钥和证书

mkdir openssl && cd openssl

2.创建rootCA.key 和 rootCA.crt。替换demo.mlopshub.com为自己的域名或 IP 地址。

openssl req -x509 \
            -sha256 -days 356 \
            -nodes \
            -newkey rsa:2048 \
            -subj "/CN=demo.mlopshub.com/C=US/L=San Fransisco" \
            -keyout rootCA.key -out rootCA.crt

这里有可能报错:Can't load /home/vagrant/.rnd into RNG

解决办法:

cd /root
openssl rand -writerand .rnd

现在创建好的是所有设备上的 CA,也就是根CA,我们可以为任何需要 HTTPS 的新开发站点或者应用程序签署证书

创建服务端私钥

openssl genrsa -out server.key 2048

创建证书签名请求配置文件

/*
创建一个csr.conf文件以包含生成 CSR 的所有信息。替换127.0.0.1为自己的域名或 IP 地址
也可以不指定配置文件,直接生成的时候手动填写
这些问题的答案并不重要.他们在查看证书时出现.但是我们几乎不需要查看证书


证数各参数含义如下:

C-----国家(Country Name)
ST----省份(State or Province Name)
L----城市(Locality Name)
O----公司(Organization Name)
OU----部门(Organizational Unit Name)
CN----产品名(Common Name)
emailAddress----邮箱(Email Address)

req_distinguished_name :根据情况进行修改

alt_names: 127.0.0.1修改为 EMQ X 服务器实际的 IP 或 DNS 地址,例如:IP.1 = 127.0.0.1,或 DNS.1 = broker.xxx.com
*/

cat > csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = US
ST = California
L = San Fransisco
O = MLopsHub
OU = MlopsHub Dev
CN = 127.0.0.1

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
IP.1 = 127.0.0.1

EOF

使用服务器私钥生成证书签名请求 (CSR)

openssl req -new -key server.key -out server.csr -config csr.conf

现在我们的文件夹应该有三个文件。csr.conf,server.csrserver.key

使用根证书生成数字证书

1.创建配置文件

//127.0.0.1修改为 EMQ X 服务器实际的 IP 或 DNS 地址,例如:IP.1 = 127.0.0.1,或 
//DNS.1 = broker.xxx.com


cat > cert.conf <<EOF

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
IP.1 = 127.0.0.1

EOF

2.使用自签名 CA 生成 SSL 证书

openssl x509 -req \
    -in server.csr \
    -CA rootCA.crt -CAkey rootCA.key \
    -CAcreateserial -out server.crt \
    -days 365 \
    -sha256 -extfile cert.conf

上面的命令将生成server.crt将与我们server.key一起用于在应用程序中启用 SSL

到此为止,根CA还有服务端数字证书和私钥就创建完毕了,当然也可以使用此根CA为多个客户端生成client.crt和client.key  这样的话如果客户端需要使用双向认证直接安装上就可以了

使用自签名证书有什么好处?

  1. 您无需依赖第三方来签署您的证书。
  2. 您可以创建和使用自己的证书颁发机构。
  3. 您不必为 CA 的证书付费。
  4. 您可以更好地控制您的证书。

使用自签名证书有什么缺点?

  1. 您的用户需要在他们的浏览器或应用程序中安装证书。
  2. 您的用户将需要手动信任您的证书颁发机构。
  3. 它们对于面向公众的应用程序不安全。
  4. 除非用户安装它们,否则所有浏览器或操作系统都不信任自签名证书。
  5. 容易受到中间人攻击。

什么是中间人攻击

如果你经常需要创建数字证书.也可以使用脚本

#! /bin/bash

if [ "$#" -ne 1 ]
then
  echo "Error: No domain name argument provided"
  echo "Usage: Provide a domain name as an argument"
  exit 1
fi

DOMAIN=$1

# Create root CA & Private key

openssl req -x509 \
            -sha256 -days 356 \
            -nodes \
            -newkey rsa:2048 \
            -subj "/CN=${DOMAIN}/C=US/L=San Fransisco" \
            -keyout rootCA.key -out rootCA.crt 

# Generate Private key 

openssl genrsa -out ${DOMAIN}.key 2048

# Create csf conf

cat > csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = US
ST = California
L = San Fransisco
O = MLopsHub
OU = MlopsHub Dev
CN = ${DOMAIN}

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = ${DOMAIN}
DNS.2 = www.${DOMAIN}
IP.1 = 192.168.1.5 
IP.2 = 192.168.1.6

EOF

# create CSR request using private key

openssl req -new -key ${DOMAIN}.key -out ${DOMAIN}.csr -config csr.conf

# Create a external config file for the certificate

cat > cert.conf <<EOF

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = ${DOMAIN}

EOF

# Create SSl with self signed CA

openssl x509 -req \
    -in ${DOMAIN}.csr \
    -CA rootCA.crt -CAkey rootCA.key \
    -CAcreateserial -out ${DOMAIN}.crt \
    -days 365 \
    -sha256 -extfile cert.conf

通过执行以下命令设置脚本可执行权限。

chmod +x ssl.sh

使用域名或 IP 执行脚本。例如

./ssl.sh 127.0.0.1

附录

emqx开启ssl配置

/**
将serve.key 文件rootCA.crt文件及 serve.crt 文件拷贝到 EMQ X 的 etc/certs/ 目录下,并参考如下配置修改 emqx.conf:
emqx配置文件位置默认是:/emqx/etc/emqx.conf
*/

## listener.ssl.$name is the IP address and port that the MQTT/SSL
## Value: IP:Port | Port
listener.ssl.external = 8883

## Path to the file containing the user's private PEM-encoded key.
## Value: File
listener.ssl.external.keyfile = etc/certs/serve.key

## Path to a file containing the user certificate.
## Value: File
listener.ssl.external.certfile = etc/certs/serve.crt

## Path to the file containing PEM-encoded CA certificates. The CA certificates
## are used during server authentication and when building the client certificate chain.
##
## Value: File
listener.ssl.external.cacertfile = etc/certs/rootCA.crt

重启emqx之后就可以使用mqtt客户端链接工具测试链接

推荐使用emqx官方工具MQTTX

具体配置详情参考文档

EMQX SSL/TLS 使用配置指南

EMQX MQTT 服务器启用 SSL/TLS 安全连接

链接成功后可以在emqx dashboard中看到

当然,客户端链接的时候需要服务器对外暴露该端口

 好了,到这里就结束了,期间也是查阅了国内外各种文档,当然也有很多现成的写好的openssl生成证书教程.但是执行的时候总是这里错,那里错,还是自身知识储备量太少了,索性把自己试过,可行的方式记录下来.有如果有看不懂的地方,欢迎在评论区区交流.我是路北.我为自己带盐.

参考文献

1.How to Create Self-Signed Certificates using OpenSSL

OpenSSL创建SSL证书
悦分享
06-03 5474
OpenSSL是一套开源的密码学工具包,为网络通信提供安全及数据完整性的一种安全协议,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其他目的使用。在SSL协议中,我们使用了很多密码学手段来保护数据,其中包括对称密码,公钥密码,数字签名,证书,完整性校验,伪随机数生成等。由于这些算法和操作都非常复杂,于是开源社区就开发了一套库,这个库里面提供了很多现成的标准方法,其他开发者只要正确的调用这些方法,就可以实现SSL协议中的各种加密/解密操作了。
使用 OpenSSL生成自签名服务器证书】扫盲贴
超越的博客
01-17 1112
1根证书是公钥基础设施(PKI)中的顶级证书,它用来签署其他证书,包括中间证书和最终用户证书。2根证书通常由证书颁发机构(CA)生成和自签名。需要注意的是,这种自签名的服务器证书在用于内部测试等场景比较方便,但如果用于面向公众的网站,由于没有经过权威机构认证,浏览器等客户端通常会显示证书不受信任的警告。
使用 openssl 生成证书
weixin_34075551的博客
09-17 4680
一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。官网:https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立...
自签生成SSL证书IIS和nginx全流程,保姆级教程。
最新发布
weixin_44858074的博客
04-22 1507
通过以上步骤,你可以为IIS和Nginx生成自签名证书,并进行详细的配置,包括安全性优化、性能提升和监控调试。虽然自签名证书在生产环境中不推荐使用,但在本地开发和测试环境中,这些步骤可以帮助你快速搭建HTTPS服务。如果你需要在生产环境中使用SSL/TLS证书,建议购买由受信任的证书颁发机构(CA)签发的证书,以确保客户端不会收到安全警告。
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2607
ssl
通过openSSL生成自签名的SSL证书
热门推荐
adminstate的博客
01-12 1万+
ssl证书
生成自签ssl证书
kali_yao的博客
10-18 1万+
一.手动生成单个ssl证书 1.创建CA和申请证书 使用openssl工具创建CA证书和申请证书时,需要先查看配置文件,因为配置文件中对证书的名称和存放位置等相关信息都做了定义,具体可参考/etc/pki/tls/openssl.cnf文件。 [root@VM-0-114-centos ~]# vim /etc/pki/tls/openssl.cnf #################################################################### [ ..
使用openssl创建SSL自签名证书步骤详解
"该资源是关于使用openssl工具生成SSL自签名证书的过程,主要涉及SSLv1版本的证书创建。在Windows环境下,通过openssl命令行工具进行操作,包括生成RSA密钥对、创建证书请求(CSR)、签署证书以及查看证书信息。" 在...
Nginx配置SSL自签名证书的方法
09-30
完成以上步骤后,Nginx应该已经配置好使用自签名SSL证书。访问你的网站时,浏览器可能会发出警告,因为这不是一个受信任的CA签署的证书。在生产环境中,为了消除这个警告,你应该使用由受信任CA签署的证书。但在开发...
使用OpenSSL创建自签名证书(详细过程和工具)
netconer的博客
05-26 3494
需求来源于使用Node.js创建一个Websocket服务器,如果使用ws://协议则不需要证书。这就要用到签名证书,通常需要从可信任的证书颁发机构获取,但是自己内部使用可以使用OpenSSL创建自签名证书。此步骤会提示填写国家代码、省、市、公司、人名、邮箱等信息,可按需要填写或填入“."保持空白,或直接回车。2. 通过私钥文件生成CSR证书签名请求文件(例: 名称为“req_csr.pem”)3. 通过私钥文件和CSR证书签名生成证书文件(例: 名称为“server.crt”)(windows版本)。
`openssl` 创建自签名证书(CA证书
qq_31532979的博客
12-16 1551
通过openssl生成的 CA、自签名服务器证书和客户端证书,您可以构建一个安全的 MQTT 传输环境,确保设备身份认证和数据加密安全。
openssl生成自签名证书流程
zhiboqingyun的博客
02-21 1743
1 数字证书概念 在HTTPS的传输过程中,有一个非常关键的角色——数字证书,那什么是数字证书?又有什么作用呢? 所谓数字证书,是一种用于电脑的身份识别机制。由数字证书颁发机构(CA)对使用私钥创建的签名请求文件做的签名(盖章),表示CA结构对证书持有者的认可。数字证书拥有以下几个优点: 使用数字证书能够提高用户的可信度 数字证书中的公钥,能够与服务端的私钥配对使用,实现数据传输过程中的加密和解密 在证认使用者身份期间,使用者的敏感个人数据并不会被传输至证书持有者的网络系统上 X.509证书
OpenSSL 生成自签名证书
weixin_51715424的博客
10-19 4960
Nginx
openssl创建自己的CA certificate
weixin_34010566的博客
11-05 106
Create a Certificate Authority private key (this is your most important key): $ openssl req -new -newkey rsa:1024 -nodes -out ca.csr -keyout ca.key Create your CA self-signed certificate: $ o...
自签名 SSL 证书
IT老男孩
08-28 1846
HTTP over SSL要保证 Web 浏览器到服务器的安全连接,HTTPS 几乎是唯一选择。HTTPS 其实就是 HTTP over SSL,也就是让 HTTP 连接建立在 SSL 安全连接之上。SSL 使用证书创建安全连接,有两种验证模式:仅客户端验证服务器的证书,客户端自己不提供证书;客户端和服务器都互相验证对方的证书。一般第二种方式用于网上银行等安全性要求较高的网站,普通的 Web 网...
自签名证书ssl
little_fairy66的博客
11-28 2154
然后我放弃了,用上边的办法重新搞了下openssl,记录好目录,重新编译(要用与原版本一摸一样的openssl,不一样会出问题,别问为什么)重新启动nginx时候报 ssl parameter requires ngx_http_ssl_module,网上搜了一下,解决办法是需要重新编nginx,有两个办法,一个是找合适的rpm包直接安装上,但是我的环境rpm长这样。编译openssl 命令: ./config --prefix=/usr/local/openssl-1.1.1d,出现下图就成功了。
OpenSSL生成自签名证书
weixin_52582672的博客
11-09 1679
新建个cert.ext扩展(不做此步会导致客户端安装证书之后一直提示net::ERR_CERT_COMMON_NAME_INVALID,不知道是否因为自签IP证书的原因,域名不知道是否可以,有知道的小伙伴可以评论下)带CA的自签名证书:在这种情况下,用户不仅生成自己的证书,还创建了自己的CA,然后使用该CA签名其证书。不带CA的自签名证书:在这种情况下,用户只是为自己创建和签名一个证书,而没有创建CA。自签名证书是指由用户自己生成和签名的证书,而不是由公认的证书颁发机构(如VeriSign或Let’s。
自签名SSL证书
wwl15840210640的博客
04-01 446
证书签发流程 创建root-CA私钥 openssl genrsa -out root-ca.key 2048 自签CA证书 openssl req -x509 -new -nodes -key root-ca.key -subj "/CN=wwl-ca.com" -days 9999 -out root-ca.crt 创建服务端私钥 openssl genrsa -out server.key 2048 生成服务端签名请求 openssl req -new -out server.c
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值