2. 程式人生 > >OpenSSL生成並使用CA根證書籤名Keytool生成的證書請求

OpenSSL生成並使用CA根證書籤名Keytool生成的證書請求

阿新 發佈:2018-12-20

  1. 生成私鑰[帶密碼]

    [root@node00 security]# openssl genrsa [-des3] -out ca.key 2048
Generating RSA private key, 2048 bit long modulus
..............................................+++
...................+++
e is 65537 (0x10001)
Enter pass phrase for ca.key:
Verifying - Enter pass phrase for ca.key:
[root@node00
     
     security]#

  2. 生成證書請求檔案

    [root@node00 security]# openssl req -new -key ca.key -out ca.csr
Enter pass phrase for ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default
     
     value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:GuangDong
Locality Name (eg, city) [Default City]:ShenZhen
Organization Name (eg, company) [Default Company Ltd]:Hinabian
Organizational Unit Name (eg, section) []
     
    :data
Common Name (eg, your name or your server's hostname) []:node00
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@node00 security]#

  3. 用自己的私鑰給自己簽發根證書

    [[email protected] security]# openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt
Signature ok
subject=/C=CN/ST=GuangDong/L=ShenZhen/O=Hinabian/OU=data/CN=node00
Getting Private key
Enter pass phrase for ca.key:
[[email protected] security]#

  4. 用CA根證書來簽名伺服器端的證書請求檔案

    4.1 建立 /etc/pki/CA/index.txt檔案

    [root@node00 security]# openssl ca -days 3650 -keyfile ca.key -cert ca.crt -in pki/node00.csr -out node00.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ca.key:
/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt'
140358162147216:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r')
140358162147216:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:

    用來跟蹤已經頒發的證書。

    [root@node00 CA]# touch /etc/pki/CA/index.txt

    4.2 建立 /etc/pki/CA/index.txt檔案

    [root@node00 security]# openssl ca -days 3650 -keyfile ca.key -cert ca.crt -in pki/node00.csr -out node00.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ca.key:
/etc/pki/CA/serial: No such file or directory
error while loading serial number
140017638942608:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r')
140017638942608:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
[root@node00 security]#

    用來跟蹤最後一次頒發的證書的序列號。

    [root@node00 CA]# echo "01" > /etc/pki/CA/serial
[root@node00 CA]#

    4.3 用CA根證書來簽名伺服器端的證書請求檔案

    [root@node00 security]# openssl ca -days 3650 -keyfile ca.key -cert ca.crt -in pki/node00.csr -out node00.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ca.key:
Check that the request matches the signature
Signature ok
The stateOrProvinceName field needed to be the same in the
CA certificate (GuangDong) and the request (GuangDong)
[root@node00 security]# ll
total 12
-rw-r--r-- 1 root root 1200 Oct 24 16:42 ca.crt
-rw-r--r-- 1 root root 1005 Oct 24 16:42 ca.csr
-rw-r--r-- 1 root root 1743 Oct 24 16:37 ca.key
-rw-r--r-- 1 root root    0 Oct 24 16:45 node00.pem
drwxr-xr-x 2 root root   42 Oct 24 16:45 pki
[root@node00 security]#

    問題:

    The stateOrProvinceName field needed to be the same in the
CA certificate (GuangDong) and the request (GuangDong)

    解決方案: 修改 /etc/pki/tls/openssl.cnf 檔案

    # A few difference way of specifying how similar the request should look
# For type CA, the listed attributes must be the same, and the optional
# and supplied fields are just that :-)
policy          = policy_match

# For the CA policy
[ policy_match ]
countryName             = match
#stateOrProvinceName    = match  	(將 match 改為 optional )
#organizationName       = match		(將 match 改為 optional )
stateOrProvinceName     = optional
organizationName        = optional		
organizationalUnitName  = optional
commonName              = supplied
emailAddress            = optional

    再次執行:

    [root@node00 security]# openssl ca -days 3650 -keyfile ca.key -cert ca.crt -in pki/node00.csr -out node00.pem
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for ca.key:
Check that the request matches the signature
Signature ok
Certificate Details:
        Serial Number: 1 (0x1)
        Validity
            Not Before: Oct 24 08:54:57 2018 GMT
            Not After : Oct 21 08:54:57 2028 GMT
        Subject:
            countryName               = CN
            stateOrProvinceName       = GuangDong
            organizationName          = Hinabian
            organizationalUnitName    = data
            commonName                = node00
        X509v3 extensions:
            X509v3 Basic Constraints: 
                CA:FALSE
            Netscape Comment: 
                OpenSSL Generated Certificate
            X509v3 Subject Key Identifier: 
                58:30:7D:B3:7E:85:D4:39:22:2F:B3:96:55:A3:38:68:FE:7F:03:88
            X509v3 Authority Key Identifier: 
                DirName:/C=CN/ST=GuangDong/L=ShenZhen/O=Hinabian/OU=data/CN=node00
                serial:E1:40:B9:DB:A9:83:F9:C3

Certificate is to be certified until Oct 21 08:54:57 2028 GMT (3650 days)
Sign the certificate? [y/n]:y


1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
Data Base Updated
[root@node00 security]# ll
total 20
-rw-r--r-- 1 root root 1200 Oct 24 16:42 ca.crt
-rw-r--r-- 1 root root 1005 Oct 24 16:42 ca.csr
-rw-r--r-- 1 root root 1743 Oct 24 16:37 ca.key
-rw-r--r-- 1 root root 4632 Oct 24 16:55 node00.pem
drwxr-xr-x 2 root root   42 Oct 24 16:45 pki
[root@node00 security]#

    成功生成證書籤名node00.pem!

相關推薦

OpenSSL生成使用CA書籤Keytool生成證書請求

生成私鑰[帶密碼] [root@node00 security]# openssl genrsa [-des3] -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ...............

openssl和cfssl書籤請求一點記錄

基本概念: X509 證書標準,定義證書內容 openssl:一套開源軟體,SSL密碼庫工具,提供了一個通用、健壯、功能完備的工具套件,用以支援SSL/TLS 協議的實現。 CFSSL: CFSSL是CloudFlare的PKI / TLS瑞士×××。它既是命令列工具,也是用於簽名,驗證和捆綁

騰訊雲免費SSL證書如何生成書籤請求CSR?

騰訊雲免費SSL證書基本上可以滿足我們小網站的需求,大家可以參考這篇:騰訊雲免費SSL證書申請地址  申請到證書即可。但是問 題來了,騰訊雲免費SSL證書生成的SSL證書只提供,KEY+CRT,缺少證書籤名請求CSR,應該如何搞?比如我們使用某些虛擬主 機(諸如糖果主機)

OpenSSL 給自己頒發證書,由書籤發下級證書的步驟。

1.建立根證書 (1)生成私鑰 openssl genrsa -des3 -out CAroot.key 2048。產生一個2048位的私鑰,在安裝的openssl目錄下呼叫openssl命令。 需要輸入私鑰保護口令。 產生CAroot.key檔案。 (2)生成證書請求 o

使用Let's Encrypt書籤服務建立Java Keystore(.jks)

安裝certbot sudo apt-get install software-properties-common sudo add-apt-repository ppa:certbot/certbot sudo apt-get update sudo apt-get install

Hbuilder 打包、書籤問題

可能iOS下各種證書(點選這裡)的繁雜,所以官方只給出了iOS系統下證書的生成說明,Android證書的生成的確很簡單,我簡單說明一下: 1、安裝JDK 2、在cmd下,進入到JDK的bin目錄,輸入: keytool -genkey -alias yourapp -keyalg RS

AndroidStudio配置數字書籤及切換debug和release(包含使用adb命令對apk進行簽名)

使用adb命令對apk進行簽名: jarsigner -verbose -keystore keystore.jks -signedjar signed.apk unsigned.apk alias_

IOS8與9配置企業書籤的應用

ios8出來的時候,使用企業證書打出的包不能夠下載,後來網上提供了一定的解決,在plist中的bundle id後面加上ios8fix,如下: <key>bundle-identifier</key> <string>com.ah

IOS 打包書籤 shell指令碼

shell 指令碼:#!/bin/bash # #-------------------------------------------- # 功能: # 作者: # 建立日期: #--------------------------------------------

蘋果書籤機制

原文地址:http://www.mamicode.com/info-detail-1155997.html 非對稱加密和摘要 非對稱加密的特性和用法 非對稱加密演算法可能是世界上最重要的演算法,它是當今電子商務等領域的基石。簡而言之,非對稱加密就是指加密金鑰和解密金

CA書籤署過程、openssl模擬生成證書檔案、使用者證書驗證過程

//單純使用公私鑰進行加解密,會存在公鑰被替換偽造的風險,無法判斷公鑰是否屬於服務提供商。 //所以,公鑰需要通過CA機構的認證。 //CA機構用自己的私鑰,對服務提供商的相關資訊及公鑰進行加密生成數字證書。 //在進行安全連線的時候,服務提供商將證書一同發給使用者。 //使用者收到證書後,從他的CA認證

openssl 驗證證書是否是某個CA書籤

int VerifyCertByIssuer(X509 *cert, X509 *issuer) {  int res = 0;  EVP_PKEY *pubkey = 0;  if (X509_check_issued(issuer, cert) != X509_V_OK

OpenSSL生成CA證書來簽名Keytool生成證書請求

我上一篇文章 (配置JAVA SSL/TLS 之websocket wss互動式認證)生成的證書都是java  keytool 的證書,都是自簽名的證書, 不是第三方簽名的證書。下面我要虛擬一個CA出來, 用CA來簽名。1、建立CA的私鑰openssl genrsa -out

https學習筆記三----OpenSSL生成root CA及簽發證書

open spa centos7 cisc div encrypt 自簽證書 oca led 在https學習筆記二,已經弄清了數字證書的概念,組成和在https連接過程中,客戶端是如何驗證服務器端的證書的。這一章,主要介紹下如何使用openssl庫來創建

openssl自建CA生成證書

檢視openssl版本 openssl version 使用openssl加密和解密檔案 加密檔案 opnessl有一個子命令enc,他可以用來加密檔案,具體引數如下: -ciphername:指定加密演算法 -in fil

Java生成打印二維碼

else clas html4 bar output ans utf-8 orm 二維 本次做訂餐系統中,需要用到在Java生成二維碼,並在jsp頁面打印並輸出,其中在action中生成二維碼. 關鍵代碼如下 1 public void reWeiMa() throws

Https、OpenSSL自建CA證書及簽發證書、nginx單向認證、雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

生成部署SSH key

tee 輸入 welcome comment pos min id_rsa arp scrip 1、如何生成ssh公鑰 你可以按如下命令來生成 sshkey: ssh-keygen -t rsa -C "[email protected]" # Generating p

Unity復制選中腳本修改器文件與類

utf8 占用 edi 目的 time pro sts efi gets 雖然我們是程序員,但是無謂的編碼應當能免則免,重復的工作會大大占用我們的時間。在一些情況下我們不得不需要創建許多類似的腳步,裏面的結構相同,但是其功能卻不一樣,功能我們要自己寫,但是結構等代碼我們其實

使用keytool生成公鑰、私鑰、證書並且讀取出來,使用私鑰簽名jar驗證(轉)

工具 crypto upload () 結構 清單文件 style too ref 參考鏈接:http://happyqing.iteye.com/blog/2139504     :https://blog.csdn.net/arjelarxfc/article/det