2. 程式人生 > >openssl證書的生成和使用

openssl證書的生成和使用

阿新 發佈:2019-01-04

證書類別
- 根證書 生成伺服器證書,客戶端證書的基礎。自簽名。
- 伺服器證書 由根證書籤發。配置在伺服器上。
- 客戶端證書 由根證書籤發。配置在伺服器上,併發送給客戶,讓客戶安裝在瀏覽器裡。

要注意,
1. 伺服器證書的cn要和servername一致,否則啟動httpd時有警告。
2. 瀏覽器安裝客戶端證書時,需要用pkcs12轉換成pfx格式,否則可以安裝但無效。
3. 把根證書安裝到瀏覽器的受信CA中,訪問伺服器時就不會出警告了。

環境: CentOS6_x64 openssl 1.0.1 apache2.2

準備

echo -n > /etc/pki/CA/index.txt
echo '00' > /etc/pki/CA/serial

注意,index.txt需要初始化為0位元組,連換行也不能有。

1 根證書

# 修改/etc/pki/tls/openssl.cnf,放開nsCertType= server的註釋。
[ usr_cert ]
nsCertType = server

cd /etc/pki/CA
# 生成金鑰
openssl genrsa -out private/myCA.key 1024
# 生成自簽名證書
openssl req -new -x509 -key private/myCA.key -out certs/myCA.crt

把這個crt匯入客戶端瀏覽器,就不會顯示證書警告了。

2 伺服器證書

cd /etc/pki/tls
openssl genrsa -out private/sv.key 1024
# 生成請求
openssl req -new -key private/sv.key -out private/sv.csr
# 使用根證書籤名
openssl ca -in private/sv.csr -keyfile ../CA/private/myCA.key -cert ../CA/certs/myCA.crt -out certs/sv.crt

有時,簽發多個證書時,由於common name等資訊重複導致簽名失敗,
可以初始化index.txt和serial。

3 客戶端證書

# 修改/etc/pki/tls/openssl.cnf,註釋掉nsCertType= server,去掉的nsCertType = client, email註釋。
[ usr_cert ]
nsCertType = client, email

cd /etc/pki/tls
openssl genrsa -out private/clnt1.key 1024
openssl req -new -key private/clnt1.key -out private/clnt1.csr
openssl ca -in private/clnt1.csr -keyfile ../CA/private/myCA.key -cert ../CA/certs/myCA.crt -out certs/clnt1.crt

個人證書需要轉成pfx格式

openssl pkcs12 -export -in certs/clnt1.crt -out certs/clnt1.pfx -inkey private/clnt1.key

apache 配置

SSLCertificateFile /etc/pki/tls/certs/sv.crt
SSLCertificateKeyFile /etc/pki/tls/private/sv.key
SSLCertificateChainFile /etc/pki/tls/certs/chain.crt      <--這個從哪兒來的?
SSLCACertificateFile /etc/pki/tls/certs/myCA.crt

    SSLVerifyClient require
    SSLVerifyDepth  1

nginx配置

    server {
        listen       443 ssl;
        server_name  localhost;
        ssl_certificate      /etc/pki/tls/certs/sv2.crt;
        ssl_certificate_key  /etc/pki/tls/private/sv2.key;
        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;
        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;
        ssl_client_certificate /etc/pki/CA/certs/myCA.crt;
        ssl_verify_client on;
        ssl_verify_depth 1;

另外,遇到了證書不能刪除的問題。解決方法是:
使用mmc,進入 證書,即可刪除。

windows上配置nginx時,可能遇到快取等模組不可用的情況,
需要註釋掉ssl_session_cache等。

生成dh引數:

dhparam -out dh1024.pem 1024

相關推薦

(7) openssl dgst(生成驗證數字簽名)

結果 lena nature binary 簽名 pub 進行 作用 驗證 該偽命令是單向加密工具,用於生成文件的摘要信息,也可以進行數字簽名,驗證數字簽名。 首先要明白的是,數字簽名的過程是計算出數字摘要,然後使用私鑰對數字摘要進行簽名,而摘要是使用md5、sha512等

linux安全加密篇(四)—openssl證書申請建立CA

OpenSSL證書申請 1、PKI: Public Key Infrastructure CA            證書頒發機構 RA            證書請求機構 request CRL          2、建立私有CA: 搭建CA OpenCA

證書生成 Tomcat配置

證書生成 一、生成伺服器端證書 1 .jks檔案(tomcat引用檔案)數字證書庫 keytool –genkey –keyalg RSA –dname "cn=伺服器名, ou=中國未來網路, o=CDN, l=南京, st=江蘇, c=cn" -alias 別名

openssl證書生成使用

證書類別 - 根證書 生成伺服器證書,客戶端證書的基礎。自簽名。 - 伺服器證書 由根證書籤發。配置在伺服器上。 - 客戶端證書 由根證書籤發。配置在伺服器上,併發送給客戶,讓客戶安裝在瀏覽器裡。 要注意, 1.

利用keytool/openSSL生成伺服器客戶端證書

一)keytool生成私鑰檔案(.key)和簽名請求檔案(.csr),openssl簽發數字證書 J2SDK在目錄%JAVA_HOME%/bin提供了金鑰庫管理工具Keytool,用於管理金鑰、證書和證書鏈。Keytool工具的命令在JavaSE6中已經改變,不過以前的命令仍然支援。Keytool也可以用來管

Openssl Win64生成證書

一、準備工作: 1、 下載win64的Openssl,可到http://slproweb.com/products/Win32OpenSSL.html下載,這裡下載1.0.1j版本。 先安裝Visual C++ 2008Redistributables (x64),然後安

詳解win10 64位系統下是如何安裝OpenSSL? 及通過openssl工具生成RSA的公鑰私鑰

預備工具: 安裝環境:Windows10旗艦版 -64位  +  Microsoft Visual Studio2013 相關軟體:vs2013、ActivePerl-5.24.3、openssl-1

openssl pem 生成公鑰私鑰及檔案

原文地址:https://www.cnblogs.com/cocoajin/p/6137651.html   openssl pem.h 中提供了關於pem格式金鑰對的操作介面 通常使用.pem的格式檔案來儲存openssl 生成的金鑰對; 在終端下 cat xxx.pem

RSA公私鑰生成RSA證書建立”利器”

一.建立pkcs8格式的RSA私鑰和和公鑰 步驟如下: 1.生成 RSA 私鑰 openssl genRSA -out RSAprivatekey.pem 1024 2.生成對應的公鑰 openssl RSA -in RSAprivatekey.pem -pubout -out RSApublic

openssl證書生成及簽發使用者證書

前段時間研究了一下 SSL/TLS ,看的是 Eric Rescorla 的 SSL and TLS - Designing and Building Secure Systems 的中文版(關於該中文版的惡劣程度,我在之前的一篇 Blog 中已做了嚴厲的批判)。本書的

openssl命令生成證書

也許很多人和本人一樣深有體會,使用OpenSSL庫寫一個加密通訊過程,程式碼很容易就寫出來了,可是整個工作卻花了了好幾天。除將程式編譯成功外(沒有可以使用的證書檔案,編譯成功了,它並不能跑起來,並不表示它能正常使用,所以......),還需生成必要的證書和私鑰檔案使雙方能夠成

OpenSSL建立CA簽發證書,轉換成java可以載入的jks

java的keytool工具本來就可以生成互動式認證的證書, 不過其他語言處理互動式認證的流程貌似和java的keytool的認證流程有些差別,  而openssl是比較通用的工具。大部分語言都會支援openssl生成的證書檔案。用openssl簽發的證書如何才能轉化為key

openssl證書初始生成證書公私鑰的方法

公鑰字尾:pem(firefox支援此格式),crt(微軟支援此格式),key。 私鑰字尾:pfx,p12,pem,key。 OpenSSL:安全套接層協議。 pfx字尾的意思: 包含公鑰和私鑰

使用openssl模擬CACA證書的簽發

當使用ssl/tls進行加密通訊時,必須要有數字證書。若通訊只限制在區域網內,可以不向第三方機構申請簽發證書,可以通過openssl模擬CA(Certificate Authority),並通過該CA簽發證書。下文講述在Centos7.3上使用openssl工具

HTTPS證書生成原理部署細節

網站部署 HTTPS 的重要性看看下面,部分電信使用者訪問京東首頁的時候,會看到右下角有一個浮動廣告:小白使用者以為是京東有意放置的,細心的使用者會發現,這個 iframe 一層嵌一層的噁心廣告很明顯是電信/中間人通過 DNS 劫持注入進去的,十分噁心,沒有關閉按鈕。隨著網際網路的快速發展,我們幾乎離不開網路

HTTPS證書生成原理部署

隨著網際網路的快速發展,我們幾乎離不開網路了,聊天、預訂酒店、購物等等,我們的隱私無時無刻不暴露在這龐大的網路之中,HTTPS 能夠讓資訊在網路中的傳遞更加安全,增加了 haker 的攻擊成本。 HTTPS 區別於 HTTP,它多了加密(encryption),認證(ver

OpenSSL安裝版證書生成,IIS10.0配置SSL證書(小白篇)

以下是個人根據網路上資源一步步整理的,由於根據參考的部落格沒能實現生成SSL證書,所以重新寫了篇部落格,工具安裝包文章中也都有下載。。如果錯誤歡迎指教,第一次弄這個,各位見笑了。 一:安裝IIS 1.安裝步驟:控制面板-->             程式-->

使用OpenSSL生成私鑰公鑰

生成私鑰,設定e=65537 ,也可以不加引數,預設就是65537 (私鑰檔案編碼是PKCS#1格式) openssl genrsa -65537 -out rsa_private_key.pem 2048 Generating RSA private

SSL:用Keytool生成簽發數字證書

伺服器端需要設定javax.net.ssl.keyStore/javax.net.ssl.keyStorePassword兩個系統引數 而客戶端需要設定javax.net.ssl.trustStore/javax.net.ssl.trustStorePassword

win7,64位,Visual Studio 2013安裝openssl以及生成生成各種證書

先講幾點,jdk 下的 keytool 雖然也可以生成證書,但是不能模擬 ca 認證,所以就功能上來講還是 openssl 強大一點。接下來講講我為什麼要這個認證,我是在本地伺服器上搭建一個網站,需要使用 https ,要開啟這個的話就需要數字證書,雖然有免費的數字證書,但