通过OpenSSL自签CA为Android服务器签发证书

使用OpenSSL创建CA及签发服务器证书
最新推荐文章于 2025-05-26 17:07:19 发布
原创 最新推荐文章于 2025-05-26 17:07:19 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Openssl #CA #Android #Https #Server

本文介绍如何使用OpenSSL创建CA根证书并为服务器签发证书。包括安装配置OpenSSL、生成根证书及其私钥、签发服务器证书等步骤。适用于Android平台上的Https通信。

文章目录


##前言
不知道大家有没有留意过开源库 AndServerNanoHttpd。这两个开源库都能实现在Android平台上快速搭建服务器,功能非常强大,也都分别支持 Https安全通信,大家如果有兴趣可以点进去看看。本文也是因为使用到Https通信,需要用到自签的服务器端证书,需要自己创建CA,并由这个CA去给服务器端签发证书( 因为我只需要客户端去认证服务器端的合法性,所以只用签发服务器端证书)。那么接下来就直接具体介绍一下怎么使用OpenSSL来创建CA,并为服务器端签发证书。
##配置环境

  • 安装OpenSSL
    这里不介绍如何安装openssl了,大家可以自行搜索下安装方法,其中在Linux上安装和在Windows下的安装方法全然不同,OpenSSL官方不提供window上的安装包,但有第三方提供了,这里提供一下链接win openssl 。在完成OpenSSL的安装之后,可以先修改下配置文件。

  • 修改配置文件

    • 修改dir
      这里写图片描述
    • 创建必要文件和文件夹
      这里写图片描述
    certs -- 用于存放已颁发的证书
newcerts -- 存放CA指令生成的新证书
private -- 用于存放私钥
crl -- 用于存放已吊销的证书
csr -- 用于存放证书申请文件
index.txt -- Openssl 定义的已签发证书的文本数据文件,通常在初始化的时候是空的
serial -- 证书签发时使用的序列号参考文件,该文件的序列号是以16进制格式进行保存的,该文件必须提供并且包含一个有效的序列号

      生成证书之前,需要先生成一个随机数:

    openssl rand -out private/.rand 1000

##创建CA根证书

  • 生成根证书私钥(key文件)
    命令:openssl genrsa -aes256 -out private/ca.key 1024
    这里写图片描述
    命令说明:

    genrsa --- 使用RSA算法生成私钥
-aes256 ---使用256位密钥的AES算法对私钥进行加密
-out ---输出文件的路径
1024 -- 指定私钥长度

  • 生成根证书请求文件(csr文件)
    命令:

    openssl req -new -key private/ca.key -out csr/ca.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

    这里写图片描述
    命令说明:

    req --- 执行证书签发命令
-new --- 新证书签发请求
-key ---指定私钥路径
-out --- 输出的csr文件的路径
-subj --- 书相关的用户信息(subject的缩写)

  • 自签发根证书(crt文件)
    命令:

    openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey private/ca.key -in csr/ca.csr -out certs/ca.crt

    这里写图片描述
    命令说明:

    x509 --- 生成x509格式证书
-req --- 输入csr文件
-days --- 证书的有效期(天)
-sha1 -- 证书摘要采用sha1算法
-extensions --- 按照openssl.cnf文件中配置的v3_ca项添加扩展
-signkey --- 签发证书的私钥
-in --- 要输入的csr文件
-out --- 输出的cer证书文件

这样,就可以生成一个根证书了,可以在certs文件夹中找到。
##用CA根证书签发服务器证书

  • 生成服务器私钥

    openssl genrsa -aes256 -out private/server.key 1024

    这里写图片描述

  • 生成服务器证书请求文件

    openssl req -new -key private/server.key -out csr/server.csr -subj "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

    这里写图片描述

  • 由CA根证书签发服务器证书

    openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.crt -CAkey private/ca.key -CAserial ca.srl -CAcreateserial -in csr/server.csr -out certs/server.crt

    这里写图片描述

    命令说明:

    -CA – 指定CA证书的路径
    -CAkey – 指定CA证书的私钥路径
    -CAserial – 指定证书序列号文件
    -CAcreateserial – 表示创建证书序列号文件(上面提到的serial文件),创建序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀
    -extensions – 拓展参数,这里指定为v3_req,打开之前的配置文件可以看到这个属性。
    这里写图片描述

    在上面CA自签根证书的时候,用到的是v3_ca, basicConstraints属性值为CA:TRUE,表明该证书是颁发给CA的证书:
    这里写图片描述

导出服务器证书

通过以上步骤,就可以得到由CA签发的服务器端的证书了,那么,我们得到这个证书之后怎么使用?我们都知道Java使用的是jks格式的秘钥库,而Android使用的bks格式的秘钥库。
那此时,我们的目标是得到一个bks格式的秘钥库:

  • 将签发证书和服务器秘钥合并导出为pcks格式

    openssl pkcs12 -export -in certs/server.crt -inkey private/server.key -out server.p12

这里写图片描述

  • 格式转换

    • 转换为pkcs8,以明文的方式保存
    openssl pkcs8 -in private/server.key -topk8  -nocrypt -out sever8.key

    • 转换为jks或者bks

      使用到一个工具 : Portecle
      这里写图片描述
      这里写图片描述
      这里写图片描述
      这里写图片描述
      这里写图片描述

使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书名请求(.csr)2.3 (可选)直接同时生成私钥和证书名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书(.crt)2.5 CA机构生成CA证书链3 生成证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书名请求(.csr)3.3 (可选)直接同时生成私钥(.key)和证书名请求(.csr)3.4 使用自己的私钥(.key)署自己的证书名请求(.csr
自定义SSL证书,自定义Android证书
最新发布
Macro_宏的博客
08-14 486
SSL自定义证书生成android自定义证书生成
【胖虎的逆向之路】Android自制Https证书实现双向认证,【绝对干货
m0_61067876的博客
04-06 858
这里的公钥服务端的公钥,这里的名是指:用hash散列函数计算公开的明文信息的信息摘要,然后采用 CA 的私钥对信息摘要进行加密,加密完的密文就是名。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。填写这些信息时要确保准确性,但在测试环境中可以使用虚拟的信息。SSL 服务器允许客户的浏览器使用标准的公钥加密技术和一些可靠的认证中心(CA)的证书,来确认服务器的合法性~
Android安卓本地开发证书生成
The_dream_is_a_verb的专栏
11-29 707
1.自己电脑上已安装JDK,使用JDK自带的创建和管理证书工具keytool。 2.使用cmd.exe进入JDK安装目录下的bin文件夹 3.输入keytool 4.输入:keytool -genkey -alias androidTest -keyalg RSA -validity 10000 -keystore androidTset.keystore ============...
android 适应CA证书
文韬武略的专栏
11-10 2710
要使 Android 应用适应和信任自CA 证书,尤其是在开发、测试或内部网络中,有几种常见的方式可以配置应用使其信任自定义 CA 证书。通常这涉及到为应用定义网络安全配置或调整系统设置。
安卓手机安装CA证书并抓包获取手机数据和xshell远程连接服务器并查看日志
a172016692的博客
01-10 1万+
一、android手机安装证书并抓包获取手机数据 前提:打开可抓取HTTPS的fiddler 1、连接可使用的WiFi,修改网络 2、手动代理,填写电脑Ip地址 3、手机设置好代理后,打开手机浏览器,在地址栏输入ip:端口号,即步骤2中所设置的ip和端口号,如192.168.1.1:888,前往搜索 4、点击搜索页面中的“FiddlerRoot certificate”,即可下载该证书 5、安装证书,以荣耀magic3为例 6、证书安装成功后,...
抓包Android 7.0+将ca证书导入到系统(设置为系统证书),以及删除【用户凭据】证书
热门推荐
键盘的起始页
02-01 3万+
一、证书操作 1、查看证书 ① 查看crt\der格式证书 openssl x509 -in FiddlerRoot.crt -inform DER -noout -text ② 查看pem证书 openssl x509 -in certificate.pem -inform pem -noout -text 2、证书转换 ① crt/der转pem openssl x509 -in FiddlerRoot.crt -inform DER -out certificate.pem
通过openssl导入证书到系统证书目录解决安卓7以上系统无法抓包问题
qq_34844277的博客
09-02 1564
背景:   测试过程中通常需要抓包定位问题,但安卓7.0及以上系统增加了系统证书验证。给手机安装https证书的方式无法满足7以上系统抓包要求。 原理:   手机/模拟器 需满足root要求,在此基础上将fiddler或charles的证书导入手机系统证书目录下,以满足系统证书校验。 步骤:   1、将fiddler/Cls证书导出到本地   2、通过OpenSSL获取证书的哈希值(下一步要用)     命令: //.cer格式证书 openssl x509 -inform DER
Android系统安全 — 1-OpenSSL生成密钥key和证书详解
qincheng168的博客
07-06 1908
OpenSSL生成密钥介绍
android访问自CAHttps SSL双向认证(j2SE也能使用)
08-03
1. **创建自CA证书**:使用如OpenSSL工具生成CA证书服务器证书,同时生成私钥。 2. **安装自CA到设备**:将生成CA证书导入到Android设备的信任存储中。这可以通过创建一个TrustManager并覆盖其检查证书...
使用自证书利用浏览器进行HTTPS接口的安全访问
卡卡尔的专栏
02-08 9151
HTTPS的基本工作原理想必对于许多开发者来说是非常熟悉的了,还不是太熟悉的同学一起先看一下HTTP常见的八股文中的描述以及如何让浏览器信任我们的自证书,实现https安全连接
OpenSSL 名验证详解:PKCS7* p7、cafile 与 RSA 验实现
青蛙博客
05-26 1653
本文深入剖析 OpenSSL 中 PKCS7* p7 数据结构和 cafile 的作用及相互关系,详细讲解基于 OpenSSL 的 RSA 验字符串的 C 语言实现,涵盖名解析、证书加载、验证流程及关键要点,助力开发者掌握数字名验证技术,确保数据完整性和来源可靠性。
openssl 转换证书
gaogaorimu的专栏
07-17 614
因为loadrunner基于HTTP开发,测试https(Secure Hypertext Transfer Protocol)请求服务端、客户端都需要证书,所以找了网上找了一通解决这个问题。 loadrunner需要的是.pem格式的证书,所以需要对不是这个格式的证书进行转换,然后就找到了OpenSSL。 安装完成后,进入到OpneSSL目录启动: 要转换的是.pfx格式的证书可以如下尝
Android https使用CA证书
weixin_34991050的博客
03-13 1454
这样,你创建的OkHttpClient将只会信任你提供的服务器证书。不过,请注意,这种方法只适用于自证书或特定场景,生产环境中应尽量使用受信任的CA颁发的证书,以便让用户设备默认信任。首先,你需要获取服务器证书文件。使用自定义的`TrustManager`创建`SSLContext`,然后将其设置到OkHttp的`SSLSocketFactory`。创建一个自定义的`X509TrustManager`,使其只信任你提供的服务器证书。// 返回信任的证书列表,此处只信任我们的服务器证书
数字证书实战经验——证书转换(Openssl&Java&Android)
JunyeeJunZuo的博客
10-13 688
以下证书标准格式主要阐述了java&androidopenssl支持的证书格式协议,可通过协议标准互转。标准/格式说明主流开发语言支持的工具PKCS1openssl默认生成的标准OpensslPKCS8Java支持的证书标准PKCS12同时支持私钥和公钥的标准DER浏览器默认证书格式,ASN.1原生文件格式PEMOpenssl制定的以base64内容转码DER的文件格式JksJavaBksJava常用工具支持的协议介绍目前按照市场上流行的证书文件格式。
如何生成Android证书
jackie_gnu的专栏
04-28 1691
Android的应用apk都需要做cat mkkey_for_test.sh#!/bin/shif [ "$1" = "" ]; then        echo "Create a test certificate key."        echo "Usage: $0 NAME"        echo "Will generate NAME.pk8 and NAME.x509.pem"        echo "  your info"        exitfi# generate priva
OpenSSL生成证书在客户端和服务端的应用
一二③木头人
08-17 3581
开发环境 JDK1.8 IIS管理器 Android Studio 3.0.1 Microsoft Visual Studio2.15 生成证书 1.安装OpenSSLOpenSSL之自证书 2.使用管理员权限运行openssl.exe 3.在窗口输入genrsa -out test/self.key 1024 生成私钥 4.生成证书文件 Req -new -x...
Android】如何创建自己的证书文件,如何为apk以及zip文件openssl
weixin_30672019的博客
12-26 205
如果你只是想知道如何名及下载名工具,请直接看“如何使用SignApk.jar来为一个apk或zip文件名”部分。要创建自己的证书请从头看起。 准备知识: 当你要发布一个软件或是自制的ROM时,你就需要一个使用了私钥的证书来为.apk或.zip文件进行名。Android系统使用证书来识别软件作者和软件之间所建立的认证关系。做这个事情最经典的方式就是用keytool创建证书...
OpenSSL生成CA证书及终端用户证书
weixin_30849591的博客
05-15 575
环境 OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 步骤 1. 生成CA证书 1.1 准备ca配置文件,得到ca.conf vim ca.conf ...
证书
04-25
<think>好的,用户想了解如何创建和使用自名SSL证书。之前他们问过关于在Windows上配置Apache的SSL证书,现在转向生成和使用自证书。首先,我需要结合用户提供的三个引用来整理步骤,但要注意用户的需求可能与引用中的内容不完全一致,比如用户可能是在Windows环境下操作,而引用1和2主要针对Linux和Nginx,引用3提到了宝塔和Windows。 首先,用户需要生成证书的基本步骤,这可能包括生成私钥、创建CSR、自证书。引用1提到了使用openssl req命令生成证书,其中包含了-x509参数,而引用2则详细介绍了生成key、csr、crt的过程,还提到了去除密码的步骤。用户可能需要跨平台的信息,比如在Linux和Windows下如何操作。 然后,用户可能需要配置服务器使用这些证书,比如Apache或Nginx。之前的对话中用户配置的是Apache,但这次的问题更通用。需要区分不同服务器的配置方法,比如Apache的SSLCertificateFile和Nginx的ssl_certificate。 另外,用户可能关心如何避免浏览器警告,因为自证书不被信任,引用2提到了这一点,但可能需要更详细的说明,比如如何将证书导入到受信任的根证书颁发机构。 还需要考虑常见问题,比如证书有效期、密钥长度、密码保护等。引用1提到使用-nodes参数避免密码保护,引用2提到生成后移除密码的步骤。用户可能需要知道这些细节,以确保服务器能够自动加载证书而无需手动输入密码。 此外,引用3提到了宝塔面板和Windows安装证书的方法,但用户的问题更关注自证书生成和使用,可能需要简要提及这些工具,但重点放在命令行操作上。 最后,用户可能需要验证证书是否正确安装,比如使用浏览器检查或命令行工具如curl。此外,安全方面的注意事项,比如自证书的局限性,仅适用于测试环境等,也需要提及。 现在需要将这些信息整合成清晰的步骤,涵盖生成证书、配置服务器、安装到系统信任库、验证等。同时要确保命令的正确性,路径的正确处理,以及不同操作系统的差异,比如Windows中使用OpenSSL可能需要额外安装,而Linux通常自带。 需要注意用户可能混淆了不同服务器的配置步骤,比如将Nginx的配置应用到Apache上,所以需要明确区分。同时,用户可能对证书链的概念不太清楚,需要解释自证书不需要中间证书,因此配置时可能只需指定证书文件和私钥。 还要考虑到用户可能遇到的常见问题,如权限问题、路径错误、端口配置等,提供相应的解决建议。例如,引用中提到端口443被占用,这在配置服务器时需要注意。 总之,回答需要结构清晰,分步骤说明生成和使用自证书的过程,涵盖不同平台和服务器类型,指出注意事项和常见问题,并最后给出相关问题供用户进一步学习。</think>### 分步指南:创建和使用自名SSL证书 #### 1. **生成证书** 自证书无需通过证书颁发机构(CA)验证,适用于测试或内部环境。 ##### **步骤1:生成私钥** 使用OpenSSL生成RSA私钥文件(默认长度2048位): ```bash openssl genrsa -out server.key 2048 ``` - **参数说明**: - `genrsa`:生成RSA私钥 - `-out`:指定输出文件名 - `2048`:密钥长度(推荐至少2048位) ##### **步骤2:创建证书名请求(CSR)** 生成CSR文件(需填写证书信息): ```bash openssl req -new -key server.key -out server.csr ``` - **填写示例**: ``` Country Name (2 letter code) []:CN State or Province Name (full name) []:Beijing Locality Name (eg, city) []:Beijing Organization Name (eg, company) []:Test Corp Common Name (eg, your name or server's hostname) []:localhost # 必须与域名或IP匹配 ``` ##### **步骤3:生成证书** 使用私钥直接签发证书(有效期365天): ```bash openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt ``` - **关键参数**: - `-x509`:生成证书(而非CSR) - `-days 365`:证书有效期 - `-signkey`:使用私钥直接名[^1][^2] --- #### 2. **配置服务器使用证书** 根据服务器类型选择配置方式: ##### **Nginx配置示例** ```nginx server { listen 443 ssl; server_name localhost; ssl_certificate /path/to/server.crt; ssl_certificate_key /path/to/server.key; ssl_protocols TLSv1.2 TLSv1.3; # 禁用旧协议提升安全性 } ``` ##### **Apache配置示例** ```apache <VirtualHost *:443> SSLEngine on SSLCertificateFile /path/to/server.crt SSLCertificateKeyFile /path/to/server.key SSLProtocol All -SSLv2 -SSLv3 # 禁用不安全协议 </VirtualHost> ``` ##### **Windows IIS配置** 1. 将 `.crt` 和 `.key` 转换为 `.pfx` 格式: ```bash openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt ``` 2. 在IIS管理器中导入 `.pfx` 文件并绑定到网站[^3]。 --- #### 3. **解决浏览器安全警告** 自证书会被浏览器标记为“不安全”,需手动添加到信任列表: 1. **导出证书**:将 `server.crt` 文件导出为 `.cer` 格式。 2. **导入到系统**(以Windows为例): - 双击 `.cer` 文件 > 选择“安装证书” > 存储位置选“受信任的根证书颁发机构”。 3. **重启浏览器**:访问 `https://localhost` 将显示“安全”锁形图标。 --- #### 4. **高级配置与优化** - **去除私钥密码**(避免服务重启需输入密码): ```bash openssl rsa -in server.key -out server_unencrypted.key ``` - **合并证书链**(如需中间证书): ```bash cat server.crt intermediate.crt > fullchain.crt # 将中间证书追加到主证书 ``` - **自动化续期**(通过脚本定期更新证书): ```bash # 示例脚本(需替换实际路径) openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt systemctl restart nginx # 重启服务生效 ``` --- ### 常见问题解决 - **错误:`SSL_ERROR_BAD_CERT_DOMAIN`** **原因**:证书的Common Name(CN)与访问的域名不匹配。 **解决**:重新生成证书,确保CN字段为实际域名或IP。 - **错误:`ERR_SSL_VERSION_OR_CIPHER_MISMATCH`** **原因**:服务器SSL协议或加密套件配置过时。 **解决**:在配置中禁用SSLv3,启用TLSv1.2+: ```nginx ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers EECDH+AESGCM:EDH+AESGCM; ``` - **性能优化** **启用OCSP Stapling**(减少证书验证延迟): ```nginx ssl_stapling on; ssl_stapling_verify on; resolver 8.8.8.8 valid=300s; ``` --- ### 相关问题 1. 如何为多域名(SAN)生成证书? 2. 自证书CA证书在加密强度上有何区别? 3. 如何通过Let’s Encrypt获取免费可信证书? 4. 自证书在移动端(Android/iOS)如何信任? --- [^1]: OpenSSL官方文档 [^2]: Nginx SSL配置指南 [^3]: Windows Server IIS管理手册
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值