2. 程式人生 > >使用CA自簽名證書搭建HTTPS網站

使用CA自簽名證書搭建HTTPS網站

阿新 發佈:2019-01-04

在自己倒騰https網站的時候用自定義的CA給自己的網站做自簽名的問題一直困擾了我好久,下面是我自己測試成功的案例,網上有很多類似的問題,在這裡儲備一份供自己和他人蔘考使用。

1. 安裝linux,apache,openssl元件,在此不做贅述,我用的就是centos裡自帶的apache和openssl。

2. 生成自簽名的CA證書

(1) 生成CA私鑰
[root@localhost ~]# openssl genrsa -out ca.key 2048

# 在當前目錄下生成ca.key檔案,這個檔案是下一步生成CA證書的私鑰。
(2) 生成CA自簽名證書
#方法一:如果需要使用第三方CA簽發證書
 

[root@localhost ~]# openssl req -new -key ca.key -out ca.req -config /etc/pki/tls/openssl.cnf
[root@localhost ~]# openssl req -x509 -key ca.key -in ca.req -out ca.crt -days 3650 -config /etc/pki/tls/openssl.cnf

#方法二:如果就伺服器本機就是CA,則可以將上述兩個操作合併為一個操作(如下命令),它在自簽署過程中將在記憶體中自動建立證書請求檔案,當然,既然要建立證書請求檔案,就需要人為輸入申請者的資訊了。
 

[root@localhost ~]# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf 

# 在當前目錄下生成ca.crt這個檔案,這個就是CA證書了,其他伺服器和客戶端的證書都是用ca.crt這個檔案簽發的。

3. 生成伺服器證書

(1) 生成伺服器端的私鑰
[root@localhost ~]# openssl genrsa -out server.key 2048 

# 在當前目錄下生成server.key檔案,這個檔案是伺服器段的私鑰。
(2) 生成伺服器端的簽署申請
[[email protected] ~]# openssl req -new -out server.csr -key server.key -config /etc/pki/tls/openssl.cnf 

# 在當前目錄下生成server證書的簽署申請,後面用CA給伺服器簽署證書的時候需要用到這個申請檔案。
# 生成簽署申請的過程中需要填寫一些資訊,按提示要求填寫即可
# 但需要說明的是Common Name必須和ssl.conf裡面的ServerName一致
# 否則客戶端訪問的時候會提示證書資訊不能認證。
(3) 使用CA證書給伺服器端簽署伺服器證書

進入/etc/pki/CA目錄下,在裡面建立一個index.txt空檔案,以及一個名為serial,內容為01的檔案

[root@localhost ~]# touch /etc/pki/CA/index.txt
[root@localhost ~]# touch /etc/pki/CA/serial
[root@localhost ~]# echo "01" >> /etc/pki/CA/serial

執行簽署證書命令

[[email protected] ~]# openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf

# 這個server.crt就是由CA簽發的伺服器證書。

4. 配置ssl.conf

將我們生成的server.crt,server.key,ca.crt三個檔案複製到/usr/local/apache2/conf/ssl.crt目錄下
編輯ssl.conf檔案,修改SSLCertificateFile,SSLCertificateKeyFile,SSLCACertificatePath,SSLCACertificateFile幾個配置項如下:

SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/liveupdate_server.crt"
SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.crt/server.key"
SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt"
SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca.crt"

重啟apache服務 

# 如果是用yum安裝的apache服務
[root@localhost ~]# service httpd restart 
# 如果是用原始碼安裝的apache服務
[root@localhost ~]# /usr/local/apache2/bin/apachectl -k restart

5. 在PC端匯入CA證書到受信任的根證書頒發機構,即可實現https訪問

相關推薦

使用CA簽名證書搭建HTTPS網站

在自己倒騰https網站的時候用自定義的CA給自己的網站做自簽名的問題一直困擾了我好久,下面是我自己測試成功的案例,網上有很多類似的問題,在這裡儲備一份供自己和他人蔘考使用。 1. 安裝linux,apache,openssl元件,在此不做贅述,我用的就是

https CA簽名證書,並給Webserver頒發證書

extension there form nal 3.2 vim city append cor **CA主機執行命令** [root@centos7 ~]# cd /etc/pki/CA [root@centos7 CA]# touch index.txt [root@c

linux中證書搭建https

前言          搭建https有兩種方式,分為單向認證和雙向認證。單向認證就是傳輸的資料加密過了,但是不會校驗客戶端的來源,也就只有客戶端驗證服務端證書。 搭建https  1.生成單向認證的https證書 建立伺服器私鑰,生成RSA祕鑰。過程中會要求輸入密碼,

Android使用OkHttp訪問簽名證書Https介面

我的簡書:簡書 前言 在Android開發中,Okhttp想必大家都不陌生,一個處理網路請求的開源專案,是安卓端最火熱的輕量級框架。 本人在開發過程中也用了很長一段時間了,但是基本請求的都是http介面。即使訪問https網站也都是綠色的,有個很特殊的大型

chrome訪問定義證書https網站出現不安全無法訪問問題

解決辦法在chrome啟動目標加入如下引數  最後完整路徑 "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --disable-infobars --ignore-certificate-err

iOS基於AFNetworking使用簽名證書實現HTTPS請求

二:HTTPS加密方式 對稱加密只有一個金鑰,加密和解密都用這個金鑰; 非對稱加密有公鑰和私鑰,私鑰加密後的內容只有公鑰才能解密,公鑰加密的內容只有私鑰才能解密。公鑰加密的另一用途是身份驗證:用私鑰加密的資訊,可以用公鑰對其解密,接收者由此可知這條資訊確實來自於擁有私鑰的某

信安實踐——CA證書搭建https伺服器

1.理論知識https簡介HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。超文字傳輸協

CA證書(企業內網搭建CA服務器生成簽名證書CA簽署,實現企業內網基於key驗證訪問服務器)

file type ima 1.5 x509 項目 索引 分享 是否 一些CA基礎 PKI:Public Key Infrastructure簽證機構:CA(Certificate Authority)註冊機構:RA證書吊銷列表:CRL X.509:定義了證書的結構以及

CA證書搭建https伺服器

由於CA收費,所以可以自建CA,通過將CA匯入瀏覽器實現https的效果,曾經12306購票就需要自行匯入網站證書。 關於https 2015年阿里巴巴將旗下淘寶、天貓(包括移動客戶端)全站啟用HTTPS加密,並順利通過“雙十一”考驗,成為全球最大的電商平臺全站HTTPS改造案例。 全站HTTPS需要解決3大

解決linux netcore https請求使用簽名證書忽略安全檢查方法

mva supported support ali figure -s issue 大致 iss 當前系統環境:centos7 x64. dotnet 2.0. 不管是 ServicePointManager.ServerCertificateValidationCallb

Nginx 配置 HTTPS簽名證書

sta num web oca pos sof AI bsp OS 工具:OpenSSL ssl的開源實現,幾乎實現了市面上所有的加密libcrypto: 通用加密庫, 任何軟件要實現加密功能 鏈接調用這個庫libssl: TLS/SSL 加密庫 openssl:

tomcat配置https簽名證書(keytool生成)

pri list tin led str orm unit lock pass tomcat配置https自簽名證書(keytool生成) 生成keystore keytool -genkeypair -alias "server" -keyalg &

SDWebImage 加載Https簽名證書時的圖片問題

str values ext 找到 from ict ati implement creat 你是否遇到了這種情況,好不容易把自簽名HTTPS證書配置好了,訪問https接口也成功了,但是圖片加載不出來? 傳了SDWebImageAllowInvalidSSLCertifi

Nginx配置https簽名證書

曾經iOS 為安全起見要求所有請求必須https,記錄專案中配置https過程。 # 生成一個RSA金鑰 openssl genrsa -des3 -out xgj.key 1024 # 拷貝一個不需要輸入密碼的金鑰檔案 openssl rsa -in xgj.key -out xg

iOS開發HTTPS實現之信任SSL證書簽名證書

                                          &nb

HTTPS協議以及雙向數字證書校驗 簽名證書的生成

$ openssl x509 -text -in client.crt -noout Certificate:     Data:         Version: 1 (0×0)         Serial Number:             d6:e3:f6:fa:ae:65:ed:df      

HTTPS】使用OpenSSL生成帶有SubjectAltName的簽名證書

操作步驟 首先新建一個配置檔案 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_

glide 整合okhttp3 解決https簽名證書問題

compile 'com.github.bumptech.glide:glide:3.7.0'compile 'com.github.bumptech.glide:okhttp3-integration:[email protected]'

tomcat配置https簽名證書

一、環境搭建 安裝jdk: 略安裝tomcat : 略配置java環境變數:略執行測試tomcat:略安裝vcredist_x86:這個的東西是安裝openssl的環境,安裝oenssl前需安裝此環境。安裝openssL:a網上搜索Win32OpenSSL-1_0_1g.e

簽名證書以及DNS伺服器搭建

1.TSL鏈路通訊 TLS: Transport Layer Security 安全傳輸協議,在應用層 傳輸層之間主要應用https 協議,ftps 協議等https大體流程客戶端A 服務端BA ————》 (連線請求 ) BA《———— (傳送CA私鑰加密過B的公鑰,也就是安全證書)BA (用CA公鑰解開