Openssl生成自签名证书并导入浏览器脚本

最新推荐文章于 2025-05-19 13:45:36 发布
最新推荐文章于 2025-05-19 13:45:36 发布
阅读量2.6k 收藏 11
点赞数 2
CC 4.0 BY-SA版权
分类专栏: 运维 linux 文章标签: https openssl 自签名证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhangpfly/article/details/119343560
本文档提供了一个详细的步骤来生成自签名证书,并通过一个脚本自动化这一过程。适用于Centos7环境,涵盖从安装依赖包到生成及导入证书的全过程。特别适合测试环境中使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Openssl生成自签名证书并导入浏览器

使用说明

环境:Centos 7
运行脚本后可以生成根证书、自签名证书(可以指定域名或泛域名)

1. 准备工作

yum -y install httpd-tools.x86_64 openssl.x86_64  openssl-devel.x86_64 openssl-libs.x86_64

2. 脚本

这个脚本是从Rancher官网上找到的,基本没改多少东西
参考:https://rancher2.docs.rancher.cn/docs/rancher2/installation/resources/advanced/self-signed-ssl/_index

rancher的文档里面介绍的也比较详细,实际上可以直接用

编辑脚本

mkdir /tmp/CA
cd /tmp/CA
vim create-ca.sh

脚本内容如下

#!/bin/bash -e

help ()
{
    echo  ' ================================================================ '
    echo  ' --ssl-domain: 生成ssl证书需要的主域名,如不指定则默认为www.rancher.local,如果是ip访问服务,则可忽略;'
    echo  ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求,有时候需要使用ip去访问server,那么需要给ssl证书添加扩展IP,多个IP用逗号隔开;'
    echo  ' --ssl-trusted-domain: 如果想多个域名访问,则添加扩展域名(SSL_TRUSTED_DOMAIN),多个扩展域名用逗号隔开;'
    echo  ' --ssl-size: ssl加密位数,默认2048;'
    echo  ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'
    echo  ' 使用示例:'
    echo  ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '
    echo  ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'
    echo  ' ================================================================'
}

case "$1" in
    -h|--help) help; exit;;
esac

if [[ $1 == '' ]];then
    help;
    exit;
fi

CMDOPTS="$*"
for OPTS in $CMDOPTS;
do
    key=$(echo ${OPTS} | awk -F"=" '{print $1}' )
    value=$(echo ${OPTS} | awk -F"=" '{print $2}' )
    case "$key" in
        --ssl-domain) SSL_DOMAIN=$value ;;
        --ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;
        --ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;
        --ssl-size) SSL_SIZE=$value ;;
        --ssl-date) SSL_DATE=$value ;;
        --ca-date) CA_DATE=$value ;;
        --ssl-cn) CN=$value ;;
    esac
done

# CA相关配置
CA_DATE=${CA_DATE:-3650}
CA_KEY=${CA_KEY:-cakey-root.key}
CA_CERT=${CA_CERT:-cacerts-root.crt}
CA_DOMAIN=openssl-ca

# ssl相关配置
SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}
SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}
SSL_DATE=${SSL_DATE:-3650}
SSL_SIZE=${SSL_SIZE:-2048}

## 国家代码(2个字母的代号),默认CN;
CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key
SSL_CSR=$SSL_DOMAIN.csr
SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"
echo -e "\033[32m       | 生成 SSL Cert |       \033[0m"
echo -e "\033[32m ---------------------------- \033[0m"

if [[ -e ./${CA_KEY} ]]; then
    echo -e "\033[32m ====> 1. 发现已存在CA私钥,备份"${CA_KEY}"为"${CA_KEY}"-bak,然后重新创建 \033[0m"
    mv ${CA_KEY} "${CA_KEY}"-bak
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
else
    echo -e "\033[32m ====> 1. 生成新的CA私钥 ${CA_KEY} \033[0m"
    openssl genrsa -out ${CA_KEY} ${SSL_SIZE}
fi

if [[ -e ./${CA_CERT} ]]; then
    echo -e "\033[32m ====> 2. 发现已存在CA证书,先备份"${CA_CERT}"为"${CA_CERT}"-bak,然后重新创建 \033[0m"
    mv ${CA_CERT} "${CA_CERT}"-bak
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
else
    echo -e "\033[32m ====> 2. 生成新的CA证书 ${CA_CERT} \033[0m"
    openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"
fi

echo -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"
cat > ${SSL_CONFIG} <<EOM
[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name
[req_distinguished_name]
[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth, serverAuth
EOM

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then
    cat >> ${SSL_CONFIG} <<EOM
subjectAltName = @alt_names
[alt_names]
EOM
    IFS=","
    dns=(${SSL_TRUSTED_DOMAIN})
    dns+=(${SSL_DOMAIN})
    for i in "${!dns[@]}"; do
      echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}
    done

    if [[ -n ${SSL_TRUSTED_IP} ]]; then
        ip=(${SSL_TRUSTED_IP})
        for i in "${!ip[@]}"; do
          echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}
        done
    fi
fi

echo -e "\033[32m ====> 4. 生成服务SSL KEY ${SSL_KEY} \033[0m"
openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 5. 生成服务SSL CSR ${SSL_CSR} \033[0m"
openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 6. 生成服务SSL CERT ${SSL_CERT} \033[0m"
openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \
    -CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \
    -days ${SSL_DATE} -extensions v3_req \
    -extfile ${SSL_CONFIG}

echo -e "\033[32m ====> 7. 证书制作完成 \033[0m"
echo
echo -e "\033[32m ====> 8. 以YAML格式输出结果 \033[0m"
echo "----------------------------------------------------------"
echo "ca_key: |"
cat $CA_KEY | sed 's/^/  /'
echo
echo "ca_cert: |"
cat $CA_CERT | sed 's/^/  /'
echo
echo "ssl_key: |"
cat $SSL_KEY | sed 's/^/  /'
echo
echo "ssl_csr: |"
cat $SSL_CSR | sed 's/^/  /'
echo
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 9. 附加CA证书到Cert文件 \033[0m"
cat ${CA_CERT} >> ${SSL_CERT}
echo "ssl_cert: |"
cat $SSL_CERT | sed 's/^/  /'
echo

echo -e "\033[32m ====> 10. 重命名服务证书 \033[0m"
echo "cp ${SSL_DOMAIN}.key tls.key"
cp ${SSL_DOMAIN}.key tls.key
echo "cp ${SSL_DOMAIN}.crt tls.crt"
cp ${SSL_DOMAIN}.crt tls.crt

执行脚本

 sh create-ca.sh --ssl-domain=test.com --ssl-trusted-domain=*.test.com,*.top.com

执行完成之后,ls目录可以看到有新文件生成

cacerts-root.crt  # 根证书文件
cacerts-root.srl
cakey-root.key    # 根证书密钥
create-ca.sh      # 脚本文件
openssl.cnf       # openssl配置文件
test.com.crt      # 由根证书签发的域名证书文件,同tls.crt
test.com.csr
test.com.key      # 由根证书签发的域名证书私钥,同tls.key
tls.crt           # 由根证书签发的域名证书文件
tls.key           # 由根证书签发的域名证书私钥

3. 导入浏览器

以Firefox浏览器为例
将根证书文件上传到windows电脑上,最好是新建一个单独的文件夹,方便后期查找
打开火狐浏览器,选择:

设置–>隐私与安全–>证书–>查看证书—>导入–>打开指定文件夹,选中文件,打开cacerts-root.crt这个文件 --> 信任根证书

在这里插入图片描述

4. 使用证书

根证书导入浏览器之后,就可以在nginx或apache上配置自定义域名,使用刚才配置的CA证书。自签名证书在测试环境下用处比较多。不过如果是正式上线,服务要放到公网环境下,最好是申请免费证书或者在合法的CA服务商那里购买证书。

Rockey Linux下OpenSSL制作自签名CA证书
weixin_41687096的博客
07-13 342
Rockey Linux下OpenSSL制作自签名CA证书应用
游戏app中哪些地方需要使用到签名证书以及签名证书的生成原理
欢迎来到《技术探索》,这是一个专注于游戏开发技术的博客。在这里,我们将深入探讨游戏引擎、图形渲染、人工智能、物理模拟等领域的最新技术和最佳实践。无论您是初学者还是经验丰富的开发者,我们都希望为您提供有价值的见解和实用的技巧。
01-13 135
游戏App中,安装包签名、HTTPS通信、SDK集成、资源包签名等都需要用到签名证书。签名证书的生成原理是:先生成密钥对,再由权威CA对公钥和身份信息签名,形成证书,开发者用私钥签名内容,用户用公钥/证书验证签名。签名证书在游戏App中主要用于安装包签名、HTTPS通信、资源包签名、SDK校验等环节,保障安全和可信。证书的生成原理是基于非对称加密,CA对开发者的公钥和身份信息签名,开发者用私钥签名内容,用户用公钥/证书验证。下面我将继续补充更深入的内容,包括签名证书的生成和使用的具体操作流程。
如何在谷歌浏览器导入证书
chromegw-com的博客
08-07 4313
如何在谷歌浏览器导入证书 在谷歌浏览器导入证书是提高网络安全性的关键步骤之一,特别是当您需要访问使用自签名证书或企业颁发证书的网站时。接下来就给大家分享如何在谷歌浏览器导入证书,还不清楚怎么操作的小伙伴就一起看过来吧。
导入ssl证书执行脚本
01-24
window和linux 导入 ssl证书执行脚本 bat和sh
使用 OpenSSL 构建自签名证书步骤详解
最新发布
dotnet研习社
05-19 2179
本文详细介绍了如何使用 OpenSSL 生成自签名证书,适用于本地测试、内部服务通信等场景。文章从环境准备开始,逐步讲解了如何生成私钥、创建证书签名请求(CSR)、生成自签名证书提供了包含扩展信息(如 SAN)的证书生成方法。此外,还介绍了如何验证证书信息,通过 Node.js 示例展示了如何在本地 HTTPS 服务中使用自签名证书。最后,文章总结了自签名证书的用途和局限性,鼓励读者通过实践掌握 OpenSSL
创建包含可导入浏览器信任的SSL自签名证书
lggirls的博客
10-15 2071
问题:现在的三大浏览器,chrome、edge、firefox 一般都默认启用https检查,这就要求我们自建的局域网内的网址和其他诸如nextcloud、photoprism、tiddlywiki等应用也必须要有证书。解决方法是使用openssl自己生成一个。由此则会再衍生出一个问题,如何让浏览器信任我们的自签名证书,避免每次都要确认接受风险的操作呢?
OpenSSL自签发证书实现浏览器的安全访问
Innocence_0的博客
03-02 1424
前言 实现内网通过IP地址访问某系统,需要使用 https,而且不能有不安全的提示,如下图:不允许这样的情况存在,这就需要使用openssl进行自签解决。!
openssl生成证书配置nginx,OpenSSL生成自签名证书,同时解决chrome浏览器中的不安全访问
weixin_49098230的博客
04-16 2484
自己签发CA证书再签发服务器证书的场景非常简单。把根CA证书导入浏览器后,就可以信任由这个根CA直接签发的服务器证书。但是实际上网站使用的证书肯定都不是由根CA直接签发的,比如像优快云这种,网站使用的证书就是由二级CA颁发的证书。
OpenSSL 自建CA 以及颁发证书(网站部署https&&双向认证)
卷心菜投手
12-03 4782
CA机构是具有权威公信力的第三方安全认证机构,负责数字证书的申请、审核申请人身份、签发证书及证书的生命周期管理等工作。作为独立第三方,CA机构为用户提供电子认证服务,确保网上传递信息的机密性、完整性,以及交易实体身份的真实性、信息的不可否认性,从而保障网络应用的可靠性。
openssl自签名证书生成器的使用与说明
资源摘要信息:"OpenSSL 自签名证书生成器是一个用于创建自签名SSL/TLS证书的工具,特别适用于那些需要在内部网络或者开发环境中快速搭建SSL加密通信的场景。OpenSSL是一个强大的开源加密工具包,广泛用于实现各种...
ragflow开启https访问:浏览器将自签证书添加到受信任的根证书颁发机构 ,当证书过期,还需要添加吗?
Ven%的博客
04-07 293
通过建立私有CA体系,您只需在客户端一次性安装CA根证书,之后该CA签发的所有证书(包括定期更新的服务器证书)都会自动被信任,实现真正的"一次配置,长期有效"。
脚本导入证书
routeros专栏
07-04 739
/system script add dont-require-permissions=no name=script1 owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source="{\r\ \n#\C9\E8\D6\C3SSTP\r\ \n/tool fetc...
openssl 生成私钥、申请文件,证书导入jks说明
weixin_30344995的博客
12-02 449
openssl 生成私钥、申请文件,证书导入说明 1.生成私钥 openssl genrsa -out serverkey.key 1024/2048 这样生成的私钥不带密码(以后生成密钥库后,要将密码改成和密钥库密码相同) openssl genrsa -des3 -out serverkey.key 1024/2048 这样生成的带密码(密码必须和以后生成的密钥库密码相同) 2...
生成自授权证书且导入浏览器使证书可信任
zimuKobby的博客
11-06 651
自授权证书的生成方式
使用openssl 生成https 证书 和chrome 导入
LCRxxoo的博客
10-09 972
//生成ca 私钥 openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt //生成ca证书 openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key //生成server 私钥和证书请求文件 openssl req -new -sha256 -nodes -out server.csr -newk...
OpenSSL 加密 解密 验证签名 证书导出导入 MD5
LEE
04-27 1011
公司项目学学OpenSSL <?php $opensslConfigPath = "S:/phpstudy_pro/Extensions/Apache2.4.39/conf/openssl.cnf"; $privkeypass="123321"; //私钥密码 $cerpath = "U:/lee.cer"; //生成证书路径 $pfxpath = "U:/lee.pfx"; //密钥文...
自建CA证书以及导入浏览器实现https安全连接
Harry_z666的博客
06-05 2068
将 192.168.32.130.crt 导入到 chrome 受信任的根证书颁发机构。IP.2=192.168.32.130 #这里要和下面的IP对应一致。安装 openssl(一般centos 系统都会自带安装好的了)重载 nginx 清除 chrome 缓存访问。由于谷歌浏览器对安全比较高要求,所以需要额外配置。目录:/etc/pki/CA/
如何在谷歌浏览器上信任私有签发的ssl证书(导入ssl证书)
weixin_43793525的博客
02-28 4229
导入ca证书ca.crt(不是server.crt)到浏览器的–设置–隐私安全–安全–管理证书–受信任的根证书颁发机构,关闭浏览器重新打开,私有签发的证书就会被信任。这样网络就是信任了,不会出现红色https与连接不安全了。话不多说,直接上干货。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值