2. 程式人生 > >OpenSSL生成根證書CA及簽發子證書

OpenSSL生成根證書CA及簽發子證書

阿新 發佈:2019-01-07

系統:CentOS7 32位

目標:使用OpenSSL生成一個CA根證書,並用這個根證書頒發兩個子證書server和client。

先確保系統中安裝了OpenSSL,若沒安裝,可以通過以下命令安裝:

?
1 sudo yum install openssl

修改OpenSSL的配置

安裝好之後,定位一下OpenSSL的配置檔案openssl.cnf:

?
1 locate openssl.cnf

132715_aC8K_1434710.bmp

如圖,我這裡的目錄是/etc/pki/tls/openssl.cnf。

修改配置檔案,修改其中的dir變數,重新設定SSL的工作目錄:

133703_4jgc_1434710.png

由於配置檔案中,dir變數下還有幾個子資料夾需要用到,因此在自定義的資料夾下面也建立這幾個資料夾或檔案,它們是:

141401_y7ay_1434710.png

certs——存放已頒發的證書

newcerts——存放CA指令生成的新證書

private——存放私鑰

crl——存放已吊銷的整數

index.txt——OpenSSL定義的已簽發證書的文字資料庫檔案,這個檔案通常在初始化的時候是空的

serial——證書籤發時使用的序列號參考檔案,該檔案的序列號是以16進位制格式進行存放的,該檔案必須提供並且包含一個有效的序列號

生成證書之前,需要先生成一個隨機數:

?
1 openssl rand -out private/.rand 1000

該命令含義如下:

rand——生成隨機數

-out——指定輸出檔案

1000——指定隨機數長度

生成根證書

a).生成根證書私鑰(pem檔案)

OpenSSL通常使用PEM(Privacy Enbanced Mail)格式來儲存私鑰,構建私鑰的命令如下:

?
1 openssl genrsa -aes256 -out private
/cakey.pem 1024

143654_AoUE_1434710.png

該命含義如下:

genrsa——使用RSA演算法產生私鑰

-aes256——使用256位金鑰的AES演算法對私鑰進行加密

-out——輸出檔案的路徑

1024——指定私鑰長度

b).生成根證書籤發申請檔案(csr檔案)

使用上一步生成的私鑰(pem檔案),生成證書請求檔案(csr檔案):

?
1 2 openssl req -new -key private/cakey.pem -out private/ca.csr -subj \ "/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"

152612_Ulk8_1434710.png

該命令含義如下:

req——執行證書籤發命令

-new——新證書籤發請求

-key——指定私鑰路徑

-out——輸出的csr檔案的路徑

-subj——證書相關的使用者資訊(subject的縮寫)

c).自簽發根證書(cer檔案)

csr檔案生成以後,可以將其傳送給CA認證機構進行簽發,當然,這裡我們使用OpenSSL對該證書進行自簽發:

?
1 2 openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey \ private/cakey.pem -in private/ca.csr -out certs/ca.cer

152740_yYK9_1434710.png

該命令的含義如下:

x509——生成x509格式證書

-req——輸入csr檔案

-days——證書的有效期(天)

-sha1——證書摘要採用sha1演算法

-extensions——按照openssl.cnf檔案中配置的v3_ca項新增擴充套件

-signkey——簽發證書的私鑰

-in——要輸入的csr檔案

-out——輸出的cer證書檔案

之後看一下certs資料夾裡生成的ca.cer證書檔案

相關推薦

OpenSSL生成證書CA簽發證書

系統:CentOS7 32位 目標:使用OpenSSL生成一個CA根證書,並用這個根證書頒發兩個子證書server和client。 先確保系統中安裝了OpenSSL,若沒安裝,可以通過以下命令安裝: ? 1 sudo yum ins

https學習筆記三----OpenSSL生成root CA簽發證書

open spa centos7 cisc div encrypt 自簽證書 oca led 在https學習筆記二,已經弄清了數字證書的概念,組成和在https連接過程中,客戶端是如何驗證服務器端的證書的。這一章,主要介紹下如何使用openssl庫來創建

openssl證書生成簽發使用者證書

前段時間研究了一下 SSL/TLS ,看的是 Eric Rescorla 的 SSL and TLS - Designing and Building Secure Systems 的中文版(關於該中文版的惡劣程度,我在之前的一篇 Blog 中已做了嚴厲的批判)。本書的

OpenSSL生成並使用CA證書籤名Keytool生成證書請求

生成私鑰[帶密碼] [root@node00 security]# openssl genrsa [-des3] -out ca.key 2048 Generating RSA private key, 2048 bit long modulus ...............

OpenSSL 自建CA簽發證書

利用 OpenSSL 建立 CA 及自行簽發證書。 1. 建立CA目錄結構 在CA的配置檔案中,有說明預設CA的目錄。 建立預設CA下的目錄及檔案如下圖(.old檔案和.attr檔案是簽發證書後自動生成的檔案)。 其中, newcert

使用openssl生成自籤CA證書,並用其簽發其他證書

下面開始實踐: ROOT CA金鑰和證書 正常情況下,根CA一般只用來簽發下級的CA證書,不會直接簽發服務端和客戶端證書。 1.準備工作目錄 我這裡用的是mac環境,使用win或linux的朋友請自行調整。 建立一個資料夾用來存放所

linux下使用openssl生成 csr crt CA證書

#重新建立ca.crt後,重新執行,生成成功 [[email protected] ca]# openssl ca -in ../server.csr -out ../server.crt -cert ca.crt -keyfile ca.key  Using configuration from

IIS8中使用OpenSSL來建立CA並且簽發SSL證書

準備 Windows 8 + IIS 8直接下載編譯好的OpenSSL,由於我的系統是64位的,所以我下的是最新版的Win64 OpenSSL v1.0.1e Light安裝OpenSSL之前要先裝Visual C++ 2008 SP1 Redistributables,

openssl 生成自簽證書檢視證書細節

生成X509格式的CA自簽名證書 # openssl req -new -x509 -keyout ca.key -out c

openssl生成iis需要的pfx格式的證書

    合成.pfx證書 將私鑰檔案(server.key)和伺服器crt證書檔案(server.crt ),放到openssl安裝目錄的bin目錄下。 控制檯也進到此目錄下,然後執行下面指令。 openssl pkcs12 -export -out s

Mac 下Nodejs 使用 https 的過程以及使用openssl生成私鑰、公鑰和證書

更多功能前往github下載檢視,歡迎star 生成公鑰、私鑰和證書 Mac 內建了openssl可以直接在終端使用 在終端輸入:(加粗部分為在終端輸入的程式碼) openssl genrsa -o

SSL/TLS深度解析--在Nginx上配置證書多域名證書

生成私鑰與自籤根證書(這次使用aes256加密,密碼是redhat) # 進行簡單處理 [[email protected] ~]# cd /usr/local/openssl/ [[email protected] openssl]# mkdir root-CA sub-CA [[em

Https、OpenSSL自建CA證書簽發證書、nginx單向認證、雙向認證使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

nginx反向代理cas-server之2:生成證書,centOS下使用openssl生成CA證書(證書、server證書、client證書)

前些天搭好了cas系統,這幾天一致再搞nginx和cas的反向代理,一直不成功,但是走http還是測試通過的,最終確定是ssl認證證書這一塊的問題,原本我在cas服務端裡的tomcat已經配置了證書,並且能夠使用了,但是現在我用nginx代理使用ssl與cas-server

OpenSSL生成CA證書來簽名Keytool生成證書請求

我上一篇文章 (配置JAVA SSL/TLS 之websocket wss互動式認證)生成的證書都是java  keytool 的證書,都是自簽名的證書, 不是第三方簽名的證書。下面我要虛擬一個CA出來, 用CA來簽名。1、建立CA的私鑰openssl genrsa -out

openssl自建CA生成證書

檢視openssl版本 openssl version 使用openssl加密和解密檔案 加密檔案 opnessl有一個子命令enc,他可以用來加密檔案,具體引數如下: -ciphername:指定加密演算法 -in fil

Linux初級:openssl建立CA頒發證書

openssl 對稱加密: 工具:openssl enc, gpg 演算法:3des, aes, blowfish, twofish 幫助:man enc 1、 加密:enc對稱演算法加密 -e加密 -des3演算法加密 -a base64編碼 -salt加鹽打亂順序 -in加

證書介紹openssl生成證書和吊銷列表

轉自:http://www.mamicode.com/info-detail-1082882.html 一,先來講講基本概念。 證書分類: 按型別可以分為CA證書和使用者使用者證書,我們我說的root也是特殊的CA證書。 使用者證書又可以根據用途分類,放在伺服器端

OpenSSL建立CA簽發證書,轉換成java可以載入的jks

java的keytool工具本來就可以生成互動式認證的證書, 不過其他語言處理互動式認證的流程貌似和java的keytool的認證流程有些差別,  而openssl是比較通用的工具。大部分語言都會支援openssl生成的證書檔案。用openssl簽發的證書如何才能轉化為key

win64使用openssl生成ca證書

一、準備工作: 先安裝Visual C++ 2008Redistributables (x64),然後安裝Win64 OpenSSL v1.0.1j。這裡我安裝到D:\OpenSSL-Win6