2. 程式人生 > >基於 OpenSSL 自建 CA 和頒發 SSL 證書

基於 OpenSSL 自建 CA 和頒發 SSL 證書

阿新 發佈:2019-01-09
原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5

自建 CA 頒發證書不僅可以用來鑑權,而且使你的通訊更加的安全(請保護好你的證書)。在實際的軟體開發中,越來越多的服務用到 HTTPS,證書的需求隨之增加。那麼對於我們開發者,通過自簽名證書來進行測試必將非常的方便。so,有一個自己的 CA 是不是非常的庫呢!下面我們一步步操作,建立我們自己的 CA。

由於 Mac 自帶的 openssl 版本過低,請安裝更高版本。

建立 CA

所有命令均在同一目錄執行,沒有進行跳轉。

SH$ mkdir -p ./demoCA/{private,newcerts} && \
    touch ./demoCA/index.txt && \
    touch ./demoCA/serial && \
    echo
 
 01 > ./demoCA/serial

通過以上命令,你將得到如下目錄:

SH$ tree
.
└── demoCA
    ├── index.txt
    ├── newcerts
    ├── private
    └── serial

生成 CA 根金鑰

$ openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048 #可以去掉des,以後簽證書不用輸密碼

生成 CA 證書請求

$ openssl req -new -days 3650 -key ./demoCA/private/cakey.pem -out careq.pem

自簽發 CA 根證書

$ openssl ca -selfsign -in careq.pem -out ./demoCA/cacert.pem -extensions v3_ca

以上合二為一

$ openssl req -new -x509 -days 3650 -key ./demoCA/private/cakey.pem -out ./demoCA/cacert.pem -extensions v3_ca

到這裡,我們已經有了自己的 CA 了,下面我們開始為使用者頒發證書。

為使用者頒發證書

生成使用者 RSA 金鑰

$ openssl genrsa -des3 -out userkey.pem 2048 # 4096

生成使用者證書請求

SH$ openssl req -new -days 365 -key userkey.pem -out userreq.pem # NO SAN

$ openssl req -new -days 365 -key userkey.pem -out userreq.pem -config openssl.cnf #SAN

使用 CA 簽發證書

SH$ openssl ca -in userreq.pem -out usercert.pem # NO SAN

$ openssl ca -in userreq.pem -out usercert.pem -extensions v3_ca # 簽發中級 ca

$ openssl ca -in userreq.pem -out usercert.pem -config openssl.cnf -extensions v3_req #SAN

其他證書操作

  • 檢視證書的內容:$ openssl x509 -in cert.pem -text -noout
  • 吊銷證書:$ openssl ca -revoke cert.pem -config openssl.cnf
  • 證書吊銷列表:$ openssl ca -gencrl -out cacert.crl -config openssl.cnf
  • 檢視列表內容:$ openssl crl -in cacert.crl -text -noout

openssl.cnf

上面步驟中,你可以觀察到 SAN 與 NO SAN 標記。那麼什麼是 SAN,SAN(Subject Alternative Name)是 SSL 標準 x509 中定義的一個擴充套件。使用了 SAN 欄位的 SSL 證書,可以擴充套件此證書支援的域名,使得一個證書可以支援多個不同域名的解析。所以,只執行 NO SAN 命令也可以簽發證書,不過卻不能夠新增多個域名。

想要新增多個域名或泛域名,你需要使用到該擴充套件。那麼預設的 OpenSSL 的配置是不能夠滿足的,我們需要複製或下載一份預設的 openssl.cnf 檔案到本地。如 github openssl。這裡我已經準備好一份 openssl.cnf

修改匹配策略

預設匹配策略是:國家名,省份,組織名必須相同(match)。我們改為可選(optional),這樣避免我們生成證書請求檔案時(csr)去參考 CA 證書。

OPENSSL# For the CA policy
[ policy_match ]
countryName         = match
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName      = optional
commonName          = supplied
emailAddress            = optional

修改預設值

這是可選項,修改預設值,可以讓你更快的頒發證書,一直回車就可以了:

OPENSSL[ req_distinguished_name ]
countryName         = Country Name (2 letter code)
countryName_default     = CN
countryName_min         = 2
countryName_max         = 2

stateOrProvinceName     = State or Province Name (full name)
stateOrProvinceName_default = Shanghai

localityName            = Locality Name (eg, city)
localityName_default        = Shanghai

0.organizationName      = Organization Name (eg, company)
0.organizationName_default      = deepzz

# we can do this but it is not needed normally :-)
#1.organizationName     = Second Organization Name (eg, company)
#1.organizationName_default = World Wide Web Pty Ltd

organizationalUnitName      = Organizational Unit Name (eg, section)
organizationalUnitName_default  = deepzz

關鍵步驟

最關鍵的地方是修改 v3_req。新增成如下:

OPENSSL[ v3_req ]

# Extensions to add to a certificate request

basicConstraints        = CA:FALSE
keyUsage            = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = @alt_names

[ alt_names ]
DNS.1 = abc.com
DNS.2 = *.abc.com
DNS.3 = xyz.com
IP.1 = 127.0.0.1

每次如果你要簽發不同域名或 IP,可以直接修改 [ alt_names ]

注意之後的操作,均要指定 -config openssl.cnf

再來看看我們的目錄結構:

SH$ tree
.
├── demoCA
│   ├── cacert.pem
│   ├── index.txt
│   ├── index.txt.attr
│   ├── index.txt.attr.old
│   ├── index.txt.old
│   ├── newcerts
│   │   └── 01.pem
│   ├── private
│   │   └── cakey.pem
│   ├── serial
│   └── serial.old
├── openssl.cnf
├── usercert.pem
├── userkey.pem
└── userreq.pem

環境變數

儘管很多文章都沒有說到,但 openssl 確實是支援環境變數的。

openssl 通過 $ENV::name 獲取環境變數,在配置檔案裡使用的時候只需將 name 替換為需要用到的環境變數的名稱就可以了。

其實上面的步驟可以改成這樣:

OPENSSL$ export SNAS=DNS:abc.com,DNS:*.abc.com,DNS:xyz.com,IP:127.0.0.1

# 修改 openssl.cnf
[ v3_req ]

# Extensions to add to a certificate request

basicConstraints        = CA:FALSE
keyUsage            = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = $ENV::SANS

# 註釋掉這段配置
#[ alt_names ]
#DNS.1 = abc.com
#DNS.2 = *.abc.com
#DNS.3 = xyz.com
#IP.1 = 127.0.0.1

參考連結

--EOF--

發表於 2017-05-21 16:03:00,並被新增「opensslca」標籤,最後修改於 2017-07-26 17:12:08

相關推薦

基於 OpenSSL CA 頒發 SSL 證書

原文地址 https://deepzz.com/post/based-on-openssl-privateCA-issuer-cert.html#toc_5自建 CA 頒發證書不僅可以用來鑑權,而且使你的通訊更加的安全(請保護好你的證書)。在實際的軟體開發中,越來越多的服務用到 HTTPS,證書的需求隨之增加

基於OpenSSLCA頒發SSL證書

openssl是一個開源程式的套件、這個套件有三個部分組成:一是libcryto,這是一個具有通用功能的加密庫,裡面實現了眾多的加密庫;二是libssl,這個是實現ssl機制的,它是用於實現TLS/SSL的功能;三是openssl,是個多功能命令列工具,它可以實現加密解密,甚至還可以當CA來用,可以讓你建立證

Https、OpenSSLCA證書及簽發證書、nginx單向認證、雙向認證及使用Java訪問

1.5 image echo create etc 保存 config openss ima 0.環境 安裝了nginx,安裝了openssl 1.配置和腳本 先創建一個demo目錄(位置自己選擇,我選擇建在nginx的目錄下): mkdir /etc/nginx/

使用OpenSSLCA + Nginx配置HTTPS

ble not cer per see 當前目錄 認證 ner web Ubuntu 16.04(ECS),OpenSSL 1.0.2g 1 Mar 2016,Nginx 1.10.3 (Ubuntu), 瀏覽器:Chrome 67,Firefox 61,Edge 40,

OpenSSL CA及簽發證書

利用 OpenSSL 建立 CA 及自行簽發證書。 1. 建立CA目錄結構 在CA的配置檔案中,有說明預設CA的目錄。 建立預設CA下的目錄及檔案如下圖(.old檔案和.attr檔案是簽發證書後自動生成的檔案)。 其中, newcert

opensslCA及生成證書

檢視openssl版本 openssl version 使用openssl加密和解密檔案 加密檔案 opnessl有一個子命令enc,他可以用來加密檔案,具體引數如下: -ciphername:指定加密演算法 -in fil

IIS8中使用OpenSSL來建立CA並且簽發SSL證書

準備 Windows 8 + IIS 8直接下載編譯好的OpenSSL,由於我的系統是64位的,所以我下的是最新版的Win64 OpenSSL v1.0.1e Light安裝OpenSSL之前要先裝Visual C++ 2008 SP1 Redistributables,

(13) openssl ca(簽署CA)

多選 bject 自建 stat ddr new eba 不重復 重新 用於簽署證書請求、生成吊銷列表CRL以及維護已頒發證書列表和這些證書狀態的數據庫。因為一般人無需管理crl,所以本文只介紹openssl ca關於證書管理方面的功能。 證書請求文件使用CA的私鑰簽署之後

debian 下 openssl證書SSL+apache [fix CA bug]

本文的主要目的是如何使用openssl生成伺服器和客戶端證書,並使用apache來搭建https伺服器,本文的內容主要來源於網上的其他的帖子,不過假如了一些修正: 1: 概念         A: SSL所使用的證書可以是自己建的生成的,也可以通過一個商業性CA如Ver

安全與加密-SSL交互與握手過程 創CA證書管理

ror 描述 sin code oss shadow pro back 自簽名證書 上一篇章中我們講了使用gpg和openssl加密公鑰進行安全數據通訊的場景。可是,網絡中總是有不懷好意的角色存在,別以為你以公鑰加密了就是安全的,有沒有想過,你得到的這個公鑰是不是真正要跟你

CA 頒發證書

原文地址: http://blog.csdn.net/erice_e/article/details/53486071 客戶端認證伺服器: 正規的做法是:到國際知名的證書頒發機構,如VeriSign申請一本伺服器證書,比如支付寶的首頁,點選小鎖的圖示,可以看到支付

Centos7創CA申請證書https://www.cnblogs.com/mingzhang/p/8949541.html

tro 簽名證書 文件名 相同 執行 檢驗 vat http The Centos7.3創建CA和申請證書 openssl 的配置文件:/etc/pki/tls/openssl.cnf 重要參數配置路徑 dir = /etc/pki/CA

CA認證證書

一些概念: PKI:Public Key Infrastructure 簽證機構:CA(Certificate Authority) 註冊機構:RA(Register Authority) 證書吊銷列表:CRL(Certificate Revoke L

部署CA頒發證書實現https加密

isp pan ef6 span med _for logs strong 執行 理論忽略:百度上很多 需求:自建證書並實現域名的https加密 部署: 在linux機器上執行以下命令生成私鑰 mkdir -p /opt/ssl-cert cd /opt/ssl

CA 申請證書

cacentos6中一. 創建私有CA 1 、創建所需要的文件touch /etc/pki/CA/index.txt 生成證書索引數據庫文件echo 01 > /etc/pki/CA/serial 指定第一個頒發證書的序列號2、 CA 自簽證書生成私鑰cd /etc/pki/CA/ (umask 06

CA實驗

openssl 證書頒發 ... crt pki attr .com 詳細 gen 測試主機:172.20.112.128(centos6.9:c6) 172.20.112.162(CA,centos7:c7)[root@c7 ~]# vi /etc/pki/tls/o

OpensslCA

構建私有CA:    在確定配置為CA的服務上生成一個自簽證書,併為CA提供所需要的目錄及檔案即可;  步驟:   (1) 生成私鑰; [[email protected] ~]# (umask 077; openssl genrs

CA 中心並簽發 CA 證書

目錄 文章目錄 目錄 CA 認證原理淺析 基本概念 PKI CA 認證中心(證書籤發) X.509 標準 證書 證書的簽發過程 自建 CA 簽發證書並認證 HT

基於 Python 分散式高併發 RPC 服務

RPC(Remote Procedure Call)服務,即遠端過程呼叫,在網際網路企業技術架構

zabbixitem觸發器

zabbix監控項介紹(item) zabbix中自帶了很多的鍵值,在自建item時,可以根據自己的需要進行選擇,這些鍵值都是zabbix內建的,設定即用,不需要進行其他設定.但是自帶的監控項畢竟只是滿足了部分需求,有時候我們需要根據自己的業務場景進行監控調整,這時候就需要我們自建監控項