在Linux下如何根據域名自簽發OpenSSL證書與常用證書轉換
阿新 • • 發佈:2020-10-12
在Linux下如何根據域名自簽發各種SSL證書,這裡我們以Apache、Tomcat、Nginx為例。
openssl自簽發泛域名(萬用字元)證書
首先要有openssl工具,如果沒有那麼使用如下命令安裝:
yum install -y openssl openssl-devel
修改openssl.cnf配置檔案
具體修改如下
1 [root@docker02 ~]# vim /etc/pki/tls/openssl.cnf 2 [ req ] 3 ……………… 4 # 將如下配置的註釋放開 5 req_extensions = v3_req # The extensions to add to a certificate request 6 ……………… 7 [ v3_req ] 8 9 # Extensions to add to a certificate request 10 11 basicConstraints = CA:FALSE 12 keyUsage = nonRepudiation, digitalSignature, keyEncipherment 13 # 新增如下行 14 subjectAltName = @SubjectAlternativeName 15 16 # 同時增加如下資訊 17 [SubjectAlternativeName] 18 DNS.1 = zhangbook.com 19 DNS.2 = *.zhangbook.com
說明:本次我們以 *.zhangbook.com 泛域名為例。
建立根證書
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 ## 建立CA私鑰 5 [root@docker02 ssl]# openssl genrsa -out CA.key 2048 6 ## 製作CA公鑰 7 [root@docker02 ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf 8 ……………… 9 Country Name (2 letter code) [XX]:CN 10 State or Province Name (full name) []:BJ 11 Locality Name (eg, city) [Default City]:BeiJing 12 Organization Name (eg, company) [Default Company Ltd]:BTC 13 Organizational Unit Name (eg, section) []:MOST 14 Common Name (eg, your name or your server's hostname) []:Light Zhang # 這裡就是證書上的:頒發者 15 Email Address []:[email protected]
當然上述的公鑰製作方式需要互動式輸入資訊,如果不想頻繁輸入,那麼可以使用如下命令:
1 ## 免互動式製作CA公鑰 2 openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=Light Zhang/[email protected]"
subj內容詳解:
1 C = Country Name (2 letter code) 2 ST = State or Province Name (full name) 3 L = Locality Name (eg, city) [Default City] 4 O = Organization Name (eg, company) [Default Company Ltd] 5 OU = Organizational Unit Name (eg, section) 6 CN = Common Name (eg, your name or your server's hostname) 7 emailAddress = Email Address
此時的的檔案有:
1 [root@docker02 ssl]# ll 2 total 32 3 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt 4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key
自簽發泛域名證書
操作步驟為:
- 生成域名私鑰
- 生成證書籤發請求檔案
- 使用自簽署的CA,生成域名公鑰
具體如下:
1 ### 當前目錄 /root/software/ssl 2 # 生成 zhangbook.com.key 金鑰 3 openssl genrsa -out zhangbook.com.key 2048 4 # 生成 zhangbook.com.csr 證書籤發請求 互動式 5 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf 6 ……………… 7 ##### 產生的互動式內容與填寫如下 8 Country Name (2 letter code) [XX]:CN 9 State or Province Name (full name) []:BJ 10 Locality Name (eg, city) [Default City]:BeiJing 11 Organization Name (eg, company) [Default Company Ltd]:BTC 12 Organizational Unit Name (eg, section) []:MOST 13 Common Name (eg, your name or your server's hostname) []:*.zhangbook.com # 這裡就是證書上的:頒發給 14 Email Address []:[email protected] 15 16 Please enter the following 'extra' attributes 17 to be sent with your certificate request 18 A challenge password []:123456 19 An optional company name []:BTC 20 ……………… 21 # 生成 zhangbook.com.csr 證書籤發請求 非互動式 22 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=*.zhangbook.com/[email protected]"
PS1:上面的Common Name 就是在這步填寫 *.zhangbook.com ,表示的就是該證書支援泛域名,common name一定要在SubjectAlternativeName中包含
PS2:進行CA簽名獲取證書時,需要注意國家、省、單位需要與CA證書相同,否則會報異常
檢視簽名請求檔案資訊
openssl req -in zhangbook.com.csr -text
使用自簽署的CA,簽署zhangbook.com.crt
openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
這裡證書有效時間為100年。
PS1:即便是你前面是sha256的根證書和sha256的請求檔案,如果這裡不加 -md sha256,那麼預設是按照sha1進行簽名的
PS2:在執行時,可能出現如下錯誤
異常問題1:
1 Using configuration from /etc/pki/tls/openssl.cnf
2 /etc/pki/CA/index.txt: No such file or directory
3 unable to open '/etc/pki/CA/index.txt'
4 140652962035600:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r')
5 140652962035600:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:這時我們建立該檔案即可
touch /etc/pki/CA/index.txt
異常問題2:
然後我們繼續使用 【自簽署的CA,簽署zhangbook.com.crt】;結果又出現新問題
1 Using configuration from /etc/pki/tls/openssl.cnf
2 /etc/pki/CA/serial: No such file or directory
3 error while loading serial number
4 140087163742096:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r')
5 140087163742096:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:使用如下命令即可。表示:用來跟蹤最後一次頒發證書的序列號。
echo "01" > /etc/pki/CA/serial
之後我們再次執行 【自簽署的CA,簽署zhangbook.com.crt 】 就正常了。詳情如下:
1 [root@docker02 ssl]# openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf 2 Using configuration from /etc/pki/tls/openssl.cnf 3 Check that the request matches the signature 4 Signature ok 5 Certificate Details: 6 Serial Number: 1 (0x1) 7 Validity 8 Not Before: Oct 2 03:42:39 2020 GMT 9 Not After : Sep 8 03:42:39 2120 GMT 10 Subject: 11 countryName = CN 12 stateOrProvinceName = BJ 13 organizationName = BTC 14 organizationalUnitName = MOST 15 commonName = *.zhangbook.com 16 emailAddress = [email protected] 17 X509v3 extensions: 18 X509v3 Basic Constraints: 19 CA:FALSE 20 X509v3 Key Usage: 21 Digital Signature, Non Repudiation, Key Encipherment 22 X509v3 Subject Alternative Name: 23 DNS:zhangbook.com, DNS:*.zhangbook.com 24 Certificate is to be certified until Sep 8 03:42:39 2120 GMT (36500 days) 25 Sign the certificate? [y/n]:y <== 需要輸入的 26 27 28 1 out of 1 certificate requests certified, commit? [y/n]y <== 需要輸入的 29 Write out database with 1 new entries 30 Data Base Updated
說明:此時我們再看,/etc/pki/CA/index.txt 和 /etc/pki/CA/serial 檔案資訊。如下:
1 [root@docker02 ~]# cat /etc/pki/CA/index.txt 2 V 21200908034239Z 01 unknown /C=CN/ST=BJ/O=BTC/OU=MOST/CN=*.zhangbook.com/[email protected] 3 [root@docker02 ~]# 4 [root@docker02 ~]# cat /etc/pki/CA/serial 5 02
由上可知:域名簽署資訊已經儲存到index.txt檔案;並且證書序列serial檔案已經更新【從01變為了02】。
PS:
- 同一個域名不能簽署多次;由於簽署了
*.zhangbook.com,且已經被記錄,因此不能再次被簽署。除非刪除該記錄。 - 注意index.txt檔案和serial檔案的關係。serial檔案內容為index.txt檔案內容行數加1。
檢視證書資訊
openssl x509 -in zhangbook.com.crt -text
驗證簽發證書是否有效
1 [root@docker02 ssl]# openssl verify -CAfile CA.crt zhangbook.com.crt 2 zhangbook.com.crt: OK
此時的檔案有:
1 [root@docker02 ssl]# ll 2 total 32 3 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt 4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key 5 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt 6 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr 7 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key
此時我們已經完成自簽發證書。
證書格式轉換
實際工作和生產環境中,可能需要各種各樣的證書格式。下面我們將證書轉換為常用的其他證書格式。
將crt轉pem格式
命令如下:
openssl x509 -in zhangbook.com.crt -out zhangbook.com.pem -outform PEM
生成 p12 格式的證書
利用生成的CA根證書和服務證書的crt 和 key 檔案生成 p12 檔案
openssl pkcs12 -export -in zhangbook.com.crt -inkey zhangbook.com.key -passin pass:CS2i1QkR -name *.zhangbook.com -chain -CAfile CA.crt -password pass:CS2i1QkR -caname *.zhangbook.com -out zhangbook.com.p12
PS:p12證書的password為CS2i1QkR
檢視p12證書資訊【keytool命令依賴於Java,因此需要先安裝Java】
1 [root@docker02 ssl]# keytool -rfc -list -keystore zhangbook.com.p12 -storetype pkcs12 2 Enter keystore password: <== 輸入:CS2i1QkR 3 Keystore type: PKCS12 4 Keystore provider: SunJSSE 5 6 Your keystore contains 1 entry 7 ………………
轉換 p12 證書為 jks 證書檔案
使用jdk keytool工具進而生成tomcat/jboss端使用的證書檔案【需要安裝 Java】。
具體如下:
1 [root@docker02 ssl]# keytool -importkeystore -srckeystore zhangbook.com.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore zhangbook.com.jks 2 Importing keystore zhangbook.com.p12 to zhangbook.com.jks... 3 Enter destination keystore password: <== 輸入 jks 證書的密碼,如:CS2i1QkR 4 Re-enter new password: <== 重複輸入 jks 證書的密碼,如:CS2i1QkR 5 Enter source keystore password: <== 輸入 p12 證書的密碼,這裡是:CS2i1QkR 6 Entry for alias *.zhangbook.com successfully imported. 7 Import command completed: 1 entries successfully imported, 0 entries failed or cancelled 8 9 Warning: 10 The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore zhangbook.com.jks -destkeystore zhangbook.com.jks -deststoretype pkcs12".
PS:p12證書和jks證書的密碼相同,防止出現各種異常情況。
利用 jks 證書生成 cer 證書
具體如下
keytool -export -alias *.zhangbook.com -keystore zhangbook.com.jks -storepass CS2i1QkR -file zhangbook.com.cer
-storepass CS2i1QkR 為jks證書密碼
利用 cer 證書檔案生成 jdk 所使用的檔案
具體如下
keytool -import -alias *.zhangbook.com -keystore cacerts -file zhangbook.com.cer
目前存在檔案說明
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# ll 5 total 52 6 -rw-r--r-- 1 root root 1018 Oct 2 14:24 cacerts ## jdk 所使用的檔案 7 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt ## CA公鑰 8 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key ## CA私鑰 9 -rw-r--r-- 1 root root 946 Oct 2 14:21 zhangbook.com.cer ## cer證書 10 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt ## zhangbook.com域名 CA簽發公鑰 11 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr ## zhangbook.com域名 證書籤發請求 12 -rw-r--r-- 1 root root 3303 Oct 2 14:13 zhangbook.com.jks ## jks證書 13 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key ## zhangbook.com域名 私鑰 14 -rw-r--r-- 1 root root 3716 Oct 2 14:02 zhangbook.com.p12 ## p12格式證書 15 -rw-r--r-- 1 root root 1338 Oct 2 13:56 zhangbook.com.pem ## zhangbook.com域名 PEM檔案
SSL證書使用
修改本地Windows的hosts檔案,用於域名解析
1 檔案位置:C:\WINDOWS\System32\drivers\etc\hosts 追加如下資訊 2 # zhangbook.com 3 172.16.1.32 www.zhangbook.com blog.zhangbook.com auth.zhangbook.com
其中172.16.1.32為測試使用的Linux機器,後面會部署WEB服務。由於自簽發的是泛域名證書,因此可以有多個二級域名。
後面訪問的時候,既可以使用域名訪問,也可以使用IP訪問。【推薦】使用域名訪問。
Apache服務的SSL證書使用
1、將Apache httpd用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.crt zhangbook.com.key zhangbook.com.pem /etc/pki/tls/certs
2、在Linux機器安裝httpd服務並新增ssl外掛
1 yum install -y httpd 2 yum install -y mod_ssl openssl # 執行後,會增加 /etc/httpd/conf.d/ssl.conf 檔案
3、在httpd新增SSL配置
1 [root@docker02 conf.d]# pwd 2 /etc/httpd/conf.d 3 [root@docker02 conf.d]# 4 [root@docker02 conf.d]# vim ssl.conf 5 <VirtualHost _default_:443> 6 # General setup for the virtual host, inherited from global configuration 7 #DocumentRoot "/var/www/html" 8 ……………… 9 # 修改如下3行 10 SSLCertificateFile /etc/pki/tls/certs/zhangbook.com.crt 11 SSLCertificateKeyFile /etc/pki/tls/certs/zhangbook.com.key 12 # 如下行可以註釋掉,也可以取消註釋 13 #SSLCertificateChainFile /etc/pki/tls/certs/zhangbook.com.pem 14 ……………… 15 </VirtualHost>
4、向VirtualHost的預設目錄新增檔案
echo "Apache web" > /var/www/html/index.html
5、啟動httpd服務
systemctl start httpd
6、瀏覽器訪問
1 https://172.16.1.32/ 2 https://www.zhangbook.com/ 3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、驗證完畢,停止httpd服務
systemctl stop httpd
Nginx服務的SSL證書使用
1、在Linux機器安裝nginx服務
yum install -y nginx
通過 nginx -V 可見,--with-http_ssl_module 已安裝。
2、將nginx用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.key zhangbook.com.crt /etc/nginx/cert
3、在nginx新增SSL配置
1 [root@docker02 nginx]# pwd
2 /etc/nginx
3 [root@docker02 nginx]#
4 [root@docker02 nginx]# vim nginx.conf
5 ………………
6 server {
7 listen 80;
8 listen [::]:80;
9 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;
10 return 301 https://$server_name$request_uri;
11 }
12
13 # Settings for a TLS enabled server.
14 server {
15 listen 443 ssl http2 default_server;
16 listen [::]:443 ssl http2 default_server;
17 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;
18 root /usr/share/nginx/html;
19
20 ssl_certificate "/etc/nginx/cert/zhangbook.com.crt";
21 ssl_certificate_key "/etc/nginx/cert/zhangbook.com.key";
22 ssl_session_cache shared:SSL:1m;
23 ssl_session_timeout 10m;
24 ssl_ciphers HIGH:!aNULL:!MD5;
25 ssl_prefer_server_ciphers on;
26
27 # Load configuration files for the default server block.
28 include /etc/nginx/default.d/*.conf;
29
30 location / {
31 index index.html index.htm;
32 }
33 }
34 ………………
4、向WEB站點新增html檔案
echo "Nginx web" > /usr/share/nginx/html/index.html
5、啟動nginx服務
systemctl start nginx.service
6、瀏覽器訪問
1 https://www.zhangbook.com/ 2 https://blog.zhangbook.com 3 https://auth.zhangbook.com
7、驗證完畢,停止nginx服務
systemctl stop nginx
Tomcat服務的SSL證書使用
1、下載Tomcat。
1 [root@docker02 App]# pwd 2 /root/App 3 [root@docker02 App]# 4 [root@docker02 App]# wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-8/v8.5.58/bin/apache-tomcat-8.5.58.tar.gz 5 [root@docker02 App]# 6 [root@docker02 App]# tar xf apache-tomcat-8.5.58.tar.gz 7 ### 檢視Java版本資訊 8 [root@docker02 App]# java -version 9 java version "1.8.0_231" 10 Java(TM) SE Runtime Environment (build 1.8.0_231-b11) 11 Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode) 12 ### 檢視Tomcat版本資訊 13 [root@docker02 bin]# pwd 14 /root/App/apache-tomcat-8.5.58/bin 15 [root@docker02 bin]# 16 [root@docker02 bin]# ./version.sh 17 ………………
2、將Tomcat用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.jks /root/App/apache-tomcat-8.5.58/conf/cert/
3、在Tomcat新增SSL配置
1 [root@docker02 conf]# pwd 2 /root/App/apache-tomcat-8.5.58/conf 3 [root@docker02 conf]# 4 [root@docker02 conf]# vim server.xml 5 ……………… 6 <Connector port="80" protocol="HTTP/1.1" 7 connectionTimeout="20000" 8 redirectPort="443" /> 9 ……………… 10 ### 其中Connector標籤中的子標籤 SSLHostConfig 已去掉 11 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" 12 maxThreads="600" SSLEnabled="true" clientAuth="false" keystoreFile="/root/App/apache-tomcat-8.5.58/conf/cert/zhangbook.com.jks" 13 keystorePass="CS2i1QkR" keystoreType="JKS" scheme="https" secure="true" 14 sslProtocol="TLS" compression="on" acceptorThreadCount="2" connectionTimeout="20000"> 15 </Connector> 16 ………………
4、向WEB站點新增html檔案
1 [root@docker02 ROOT]# pwd 2 /root/App/apache-tomcat-8.5.58/webapps/ROOT 3 [root@docker02 ROOT]# 4 [root@docker02 ROOT]# echo 'Tomcat web' > index.html
PS:原ROOT目錄下的檔案已移走。
5、啟動Tomcat服務
1 [root@docker02 bin]# pwd 2 /root/App/apache-tomcat-8.5.58/bin 3 [root@docker02 bin]# 4 [root@docker02 bin]# sh startup.sh
6、瀏覽器訪問
1 https://172.16.1.32/ 2 https://www.zhangbook.com/ 3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、驗證完畢,停止Tomcat服務
1 [root@docker02 bin]# pwd 2 /root/App/apache-tomcat-8.5.58/bin 3 [root@docker02 bin]# 4 [root@docker02 bin]# sh shutdown.sh
相關閱讀
1、openssl生成自簽名泛域名(萬用字元)證書
———END———
如果覺得不錯就關注下唄 (-^O^-) !
&n