openssl生成cer证书_tls证书生成

openssl生成cer证书_tls证书生成一安装opensslwgethttp://www.openssl.org/source/openssl-1.0.0a.tar.gztarzxvfopenssl-1.0.0a.tar.gzcdopenssl-1.0.0a./config–prefix=/usr/local/opensslmake&&makeinstall二创建主证书先创建一个ssl的目录:m…

大家好,又见面了,我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE使用 1年只要46元 售后保障 童叟无欺

一 安装 openssl

wget http://www.openssl.org/source/openssl-1.0.0a.tar.gz

tar zxvf openssl-1.0.0a.tar.gz

cd openssl-1.0.0a

./config –prefix=/usr/local/openssl

make && make install

二 创建主证书

先创建一个 ssl的目录:

mkdir ssl

copy CA.sh文件:

cp /usr/local/openssl/ssl/misc/CA.sh /etc/aaron/ssl

创建证书

./CA.sh -newca

中间填写的一些资料:

countryName = cn

stateOrProvinceName = shandong

organizationName = teamsourcing

organizationalUnitName = develop

commonName = www.mydomain.com

emailAddress = mydomain@gmail.com

生成成功的话,会在ssl目录下面产生一个文件夹demoCA,demoCA/private/cakey.pem是CA证书的私钥文件,demoCA/cacert.pem是CA证书。

可以规整一下:

cp demoCA/private/cakey.pem ca.key

cp demoCA/cacert.pem ca.crt

三 生成服务器证书

生成服务器私钥:

openssl genrsa -des3 -out server.key 1024

生成服务器证书请求:

openssl req -new -key server.key -out server.csr

生成服务器证书并签名:

mv server.csr newreq.pem

./CA.sh -sign

mv newcert.pem server.crt

可以使用以下命令查看服务器证书的内容:

openssl x509 -noout -text -in server.crt

可以用以下命令验证服务器证书:

openssl verify -CAfile ca.crt server.crt

解密 server key:

openssl rsa -in server.key -out my-server.key

四 客户证书

生成客户私钥:

openssl genrsa -des3 -out client.key 1024

生成客户证书签名请求:

openssl req -new -key client.key -out client.csr

生成客户证书(使用CA证书签名)

openssl ca -in client.csr -out client.crt

证书转换成浏览器认识的格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

五 证书列表

如果使用双向认证,就会有三个私钥和三个证书。分别是

ca.key, ca.crt, server.key, server.crt, client.key, client.crt,以及给浏览器的client.pfx。

如果使用有CA证书的单向认证,证书和私钥就是ca.key, ca.crt, server.key, server.crt。

如果使用无CA证书的单向认证,证书和私钥就是server.key, server.crt。

当系统自带一个openssl时,再安装一个oppenssl,当我们生成证书的时候,会出现一些问题:

Using configuration from /etc/pki/tls/openssl.cnf

Enter pass phrase for /usr/local/ssl/test/my_CA/private/./cakey.pem:

I am unable to access the ../../CA/newcerts directory

../../CA/newcerts: No such file or directory

系统本身带了一个openssl,此ca脚本直接调用该/usr/bin/openssl ,而该openssl所用的配置文件是 /etc/pki/tls/openssl.cnf

第一步:

现在更改ca.sh让其使用自己的/usr/local/ssl/bin/openssl ,从而调用自己cnf文件 /usr/local/ssl/openssl.cnf

# default openssl.cnf file has setup as per the following

# demoCA … where everything is stored

if [ -z “$OPENSSL” ]; then OPENSSL=openssl; fi

DAYS=”-days 365″ # 1 year

CADAYS=”-days 1095″ # 3 years

REQ=”/usr/local/openssl/bin/openssl req $SSLEAY_CONFIG”

CA=”/usr/local/openssl/bin/openssl ca $SSLEAY_CONFIG”

VERIFY=”/usr/local/openssl/bin/openssl verify”

X509=”/usr/local/openssl/bin/openssl x509″

就是将原来的$OPENSSL的换成了/usr/local/openssl/bin/openssl

第二步

同时修改 /etc/pki/tls/openssl.cnf

[ CA_default ]

dir = ../../CA # Where everything is kept

[ CA_default ]

dir = ./demoCA # Where everything is kept

当然,也可以直接修改 第二步,您可以自己再验证下

分享到:

18e900b8666ce6f233d25ec02f95ee59.png

72dd548719f0ace4d5f9bca64e1d7715.png

2011-08-01 17:31

浏览 6290

评论

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/191671.html原文链接:https://javaforall.net

(0)
全栈程序员-站长的头像全栈程序员-站长


相关推荐

  • 备战“软考”之软件project

    备战“软考”之软件project

    2022年2月3日
    56
  • 风控模型及特征的上线部署方法

    风控模型及特征的上线部署方法序言:作为年后的首篇实操干货文章,番茄风控一如既往向业内小伙伴输出相关的干货文章。有实操能落地,有数据可撸码,继续将会是番茄风控提供给各位小伙伴的业内标配内容。近期,我们花费了时间容整理了目前业内各位小伙伴关心的内容,本次文章是其中一个问题就是模型跟规则在现有的风控系统内是如何规范上线的,基于此,我们给大家带来了这样的一篇内容。本次文章内容翔实,章节就有四大部分,内容绝对干货满满,实操性十足。老规矩,文章中提及的更详情(数据集+代码内容)可以直接到知识课堂中下载学习。本文有理论,有方法,有实操,还有数

    2022年5月4日
    70
  • python中str函数

    python中str函数str函数str将数据强制转换为字符串。每种数据类型都可以强制转换为字符串。例4.6.str介绍>>>str(1)'1'>>>horse

    2022年7月5日
    23
  • PyCharm vs Spyder:两个Python IDE的快速比较

    PyCharm vs Spyder:两个Python IDE的快速比较Ifyouhavefollowedmyblogyoumayhavenoticedthatalotoffocushavebeenputonhowtolearnprogramming(particularlyinPython).IhavealsowrittenaboutIntegratedDevelopmentEnvironments…

    2022年8月29日
    2
  • SpringBoot项目运行jar包启动「建议收藏」

    SpringBoot项目运行jar包启动「建议收藏」人工智能,零基础入门!http://www.captainbed.net/innerSpringBoot项目在开发中,方便快捷,有一点原因就是SpringBoot项目可以打jar包运行:把jar包直接扔服务器上,然后运行jar包就能访问项目接口了。下面介绍SpringBoot项目打jar包运行的步骤流程:一、我们所熟悉的是在开发环境下,直接用开发工具来运行那个启动类,然后就能启动这个项…

    2022年6月29日
    23
  • JAVA设计模式初探之装饰者模式

    这个模式花费了挺长时间,开始有点难理解,其实就是定义:动态给一个对象添加一些额外的职责,就象在墙上刷油漆.使用Decorator模式相比用生成子类方式达到功能的扩充显得更为灵活。设计初衷:通常可以使用继承来实现功能的拓展,如果这些需要拓展的功能的种类很繁多,那么势必生成很多子类,增加系统的复杂性,同时,使用继承实现功能拓展,我们必须可预见这些拓展功能,这些功能是编译时就确定了,是静态的。…

    2022年3月11日
    31

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号