使用OpenSSL生成自己CA根证书,和使用CA根证书颁发二级证书

最新推荐文章于 2025-10-07 22:23:52 发布
原创 最新推荐文章于 2025-10-07 22:23:52 发布 · 2.5k 阅读 · 39 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#rpc

使用OpenSSL生成自己CA根证书,和使用CA根证书颁发二级证书

文章目录

前言

需要在自己安装好Openssl,网上有很多攻略
本文是以grpc的证书认证为例,用生成的root.crt证书签发两个二级证书client.crtserver.crt

一、生成CA根证书

1.1 在证书存放文件夹下 新建 root.conf

写入内容如下:

[req]
default_bits = 2048
prompt = no
default_keyfile = root.key
distinguished_name = req_distinguished_name


[req_distinguished_name]
C=CN
ST=HuNan
L=ChangSha
O=HuNan University
OU=My Department
CN=root.grpc.io


[root_ext]
basicConstraints = critical,CA:true
keyUsage = critical,keyCertSign,cRLSign

这个配置文件主要用于生成证书签名请求(CSR,Certificate Signing Request)以及定义根证书的扩展信息,通常会配合 OpenSSL 等工具来创建自签名的根证书:

[req] 部分
此部分定义了证书请求生成过程中的一些全局设置:

  • default_bits = 2048
    • 规定了生成密钥对时默认使用的密钥长度为 2048 位。在密码学里,密钥长度是衡量加密强度的关键指标,2048 位的 RSA 密钥目前被认为能提供足够的安全性,可有效抵御常见的攻击手段。
  • prompt = no
    • 当设置为 no 时,意味着在生成证书请求的过程中,系统不会以交互式的方式提示用户输入相关信息。所有必要的信息都将从配置文件中预先指定的内容获取。
  • default_keyfile = root.key
    • 指定了默认的私钥文件名是 root.key。若在生成证书请求时没有特别指定私钥文件,系统就会使用这个文件名来处理私钥。
  • distinguished_name = req_distinguished_name
    • 表明证书中可分辨名称(Distinguished Name,DN)的信息将从配置文件里的 [req_distinguished_name] 部分获取。可分辨名称是用于唯一标识一个实体(如组织、个人等)的一组属性。

[req_distinguished_name] 部分
该部分详细定义了证书中可分辨名称的具体内容:

  • C=CN
    • C 代表国家(Country),CN 是中国的国家代码,这表明该证书所属实体位于中国。
  • ST=HuNan
    • ST 表示州或省份(State or Province),这里指定为湖南。
  • L=ChangSha
    • L 代表城市或地区(Locality),指定为长沙。
  • O=HuNan University
    • O 表示组织(Organization),这里指定为湖南大学,即该证书所属的组织名称。
  • OU=My Department
    • OU 代表组织单位(Organizational Unit),指定为 “My Department”,表示该证书所属组织内的具体部门。
  • CN=root.grpc.io
    • CN 是通用名称(Common Name),指定为 root.grpc.io,通常用于标识证书的主体,对于根证书来说,这是根证书的一个标识名称。

[root_ext] 部分
此部分定义了根证书的扩展信息,这些扩展信息为证书添加了额外的属性和约束:

  • basicConstraints = critical,CA:true
    • basicConstraints 是一个基本约束扩展,critical 表示这个扩展是必须被处理的,如果证书验证者不支持该扩展,则必须拒绝该证书。CA:true 明确表示该证书是一个证书颁发机构(CA)的证书,具备签发其他证书的权限。
  • keyUsage = critical,keyCertSign,cRLSign
    • keyUsage 是一个密钥使用扩展,同样 critical 表示该扩展必须被处理。keyCertSign 表示该证书的私钥可以用于签发其他证书,cRLSign 表示该私钥可以用于签发证书吊销列表(Certificate Revocation List,CRL)。

这个配置文件可用于生成一个自签名根证书的证书请求,同时为该根证书指定了必要的信息和扩展,以确保其具有作为根证书颁发机构的功能和权限。

1.2生成root秘钥,得到root.key

openssl genrsa -out root.key 4096
  • openssl:这是命令的基础,代表调用 OpenSSL 工具。OpenSSL 是一个开源的、功能强大的密码学工具包,提供了各种加密、解密、签名、验证等功能,在网络通信、安全认证等领域有广泛应用。
  • genrsa:这是 OpenSSL 的一个子命令,专门用于生成 RSA 私钥。它会根据指定的参数生成一个符合 RSA 算法的私钥。
  • -out root.key:这是一个选项,-out 用于指定输出文件的名称。在这里,生成的 RSA 私钥将被保存到名为 root.key 的文件中。如果当前目录下已经存在同名文件,该文件将被覆盖。
  • 4096:这是指定生成的 RSA 私钥的长度,单位是位(bit)。密钥长度是衡量 RSA 密钥安全性的一个重要指标,密钥长度越长,破解的难度就越大,安全性也就越高。4096 位的 RSA 密钥在当前被认为具有较高的安全性,能够抵御大多数已知的攻击手段。

1.3 生成root证书签发请求,得到root.csr

openssl req -new -sha256
最低0.47元/天 解锁文章
xsh219
关注
Openssl生成证书-nginx使用ssl
m0_52369979的博客
11-03 1675
上面的过程其实是模拟了各大https证书厂商生成https证书的过程,其中涉及到了根证书等等一些概念,如果你不是太明白也没有关系,我们还有B方案,我只想要证书,不想搞得太深,那么请使用如下方法,简便快捷。6、根据CA机构的自签名证书ca.crt或者叫根证书生、CA机构的私钥ca.key、服务器的证书申请文件server.csr生成服务端证书。5、生成自签名证书CA机构用自己的私钥证书申请文件生成自己签名的证书,俗称自签名证书,这里可以理解为根证书。4、生成CA机构自己的证书申请文件。
openssl生成自签证书
liweiweili126的博客
07-22 2509
配置服务器时,需将私钥证书文件部署到Web服务器(如Nginx、Apache、IIS等)的相应配置目录中。字段的局限性,确保现代浏览器应用程序能正确验证证书的适用范围。自签证书(Self-Signed)默认不被浏览器信任。通过以上方法,可确保浏览器地址栏不再显示“不安全”提示。执行后会提示设置密码,记住这个密码后续会用到。以下是使用 OpenSSL 生成自签证书(含。)是 X.509 证书的一个扩展字段,用于。按此步骤操作后,证书将兼容所有现代浏览器。:仅限本地开发或内网环境。(主题备用名称,简称。
使用openssl生成自签CA证书,并用其签发其他证书
﹎际遇 ╭..
11-15 6673
openssl生成自签名ca证书,以及使用ca根证书签发中间证书颁发机构,以及签发服务端客户端证书
OpenSSL 加密算法与证书管理全解析:从基础到私有 CA 实战
最新发布
coder4_的博客
10-07 759
本文详细介绍了加密算法、CA证书管理以及OpenSSL工具的使用。首先讲解了对称加密、非对称加密(含RSA/DSA)、单向哈希算法(如MD5/SHA系列)及其综合应用,包括数据加密、数字签名及混合方案。接着分析了中间人攻击风险,阐述了CA证书如何通过数字签名确保通信安全,并介绍了SSL/TLS协议及HTTPS的实现原理。最后聚焦OpenSSL,涵盖Base64编码、常用命令(如单向哈希dgst、密码生成passwd、随机数生成rand、密钥对管理genrsa/rsa),以及通过openssl ca命令建立
使用OpenSSL创建CA根证书及自签名
Brant Jobs的『作坊』 ㊣
01-21 6058
系统:Ubuntu 12.04 LTS (amd64) 软件:OpenSSL 安装:$ sudo apt-get install openssl openssl.cnf路径:/etc/ssl/openssl.cnf 步骤: 1、准备!创建工作目录,并将openssl.cnf复制到工作目录中。 ~$ mkdir ~/ssl ~/ssl$ mkdir ~/ssl/demoCA
CA根证书——https安全保障的基石
优快云_G_Y的博客
04-01 4537
CA根证书是https中最重要的,也是为何安全的最根本的保证
openssl创建CA证书教程
justlpf的专栏
09-21 5550
修改 nginx.conf 配置,增加监听 443 端口的,跳转到harbor的8443端口,此外在这里需要指定证书文件的路径。然后备份原有的nginx 命令,并将新编译的nginx拷贝的nginx命令所在的目录。然后使用 make 编译,注意,不要使用 make install,否则会覆盖。说明 nginx 没有安装ssl,此时进入nginx的源码目录,执行如下命令。:修改alt_names里面的域名或者IP为最终部署需要的地址,文件拷贝到docker的证书目录下,注意替换为自己的域名。
如何自建根证书使用openssl库自建根证书带图详解
一只青木呀
08-25 2665
自建根证书根证书的普通用途自建根证书步骤1、创建一个目录,存放所有证书有关资料2、进入根证书目录,创建相关目录档案2.1、进入根证书目录2.2、创建相关目录2.3、更改private目录存取权限2.4、创建index.txt文件2.5、建立serial3、填写OpenSSL4、生成私钥5.用私钥来签发证书6、检查生成根证书是否正确7、信息正确,自建根证书完成 根证书的普通用途 根证明普通的情况用途为对标志发行传递的证明,再标志问题终端证明由传递的证明(服务器,客户端)。 自建根证书步骤 在自建根证书
OpenSSL 生成CA证书及终端用户证书,java架构师常见面试题
m0_64205676的博客
11-16 936
OpenSSL 1.0.2k FireFox 60.0 64位 Chrome 66.0.3359.181 (正式版本)(32位) Internet Explorer 11.2248.14393.0 Websocketd 0.3.0 Nginx 1.12.2 二、生成CA根证书 1、准备ca配置文件,得到ca.conf $ vim ca.conf 内容如下: [ req ] default_bits = 4096 distinguished_name = req_d...
使用openssl生成根证书CA并签发下级证书
chali1314的博客
04-25 2773
openssl环境的安装配置不是本文讲述重点,请自行百度。 生成证书之前,需要先生成一个随机数: openssl rand -out .rand 1000 说明: rand——生成随机数 -out——指定输出文件 1000——指定随机数长度 生成根证书 1、生成根证书私钥(pem文件) openssl通常使用PEM(Privacy Enbanced Mail)格式来保存私钥,构建私钥的命令如下: openssl genrsa -aes256 -out cakey.pem 10
[XJTUSE]在window上使用openSSL完成根证书的建立以及签发二级证书
ge_xinyu的博客
04-29 609
利用openssl签发班级证书作为根证书,由班级完成个人证书颁发。演示证书由不可认证到导入根证书后有效。
利用openssl生成CA证书的方法及证书
12-26
利用openssl生成CA证书的方法及证书,根据文档可以自己生成证书
使用 OpenSSL 构建自签名证书步骤详解
dotnet研习社
05-19 3865
本文详细介绍了如何使用 OpenSSL 生成自签名证书,适用于本地测试、内部服务通信等场景。文章从环境准备开始,逐步讲解了如何生成私钥、创建证书签名请求(CSR)、生成自签名证书,并提供了包含扩展信息(如 SAN)的证书生成方法。此外,还介绍了如何验证证书信息,并通过 Node.js 示例展示了如何在本地 HTTPS 服务中使用自签名证书。最后,文章总结了自签名证书的用途局限性,并鼓励读者通过实践掌握 OpenSSL
Linux下使用OpenSSL生成与验证多级证书链实例
证书链中,每个证书都由上一级证书签名,最终追溯到根证书,而根证书通常由可信的CA证书颁发机构)签名。证书链确保了证书验证路径的完整性可靠性。 ### 知识点三:多级证书生成与管理 在多级证书体系中,...
openssl生成CA证书
热门推荐
cowbin2012的专栏
08-29 2万+
什么是x509证书链 x509证书一般会用到三类文件,key,csr,crt。 key是私用密钥,openssl格式,通常是rsa算法。 csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。 crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 ...
OpenSSL 生成CA证书自签名证书
u010100623的博客
07-18 2169
openssl x509工具不会使用openssl配置文件中的设定,而是完全需要自行设定或者使用该伪命令的默认值,它就像是一个完整的小型的CA工具箱。吊销证书需要使用默认的配置文件/etc/pki/tls/openssl.cnf,当然也可以复制一份openssl.cnf文件,自己改一下配置也可。这里使用默认的配置文件/etc/pki/tls/openssl.cnf。因后面生成证书使用到了openssl配置文件/etc/pki/tls/openssl.cnf,所以要提前创建,如果不使用
openssl生成ca证书
zwm_yy的博客
11-27 1015
4、CA给http服务器签生成 证书申请文件。5、CA生成服务器的签名证书。3、生成http服务器私钥。#输入秘钥签生证书申请文件。#生成公共/私人秘钥对。#输入秘钥对生成公钥。
OpenSSL 生成根证书、中间证书网站证书
石牌桥网管笔记
11-07 1725
在这个过程中,需要根据提示输入国家、地区、组织名称等信息,例如国家填“CN”,地区填“Beijing”等,组织名称可自定义为“China Root CA Organization”等。同样输入相应信息,组织名称可填“Guangdong Intermediate CA Organization”等。参数来启用扩展,以便后续添加多个域名。在创建请求时,可以添加。
OpenSSL 生成CA证书及终端用户证书(1)
2401_84048554的博客
05-06 1054
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值