openssl 自签证书(带ip或者域名)

最新推荐文章于 2025-05-19 13:45:36 发布
最新推荐文章于 2025-05-19 13:45:36 发布
阅读量5.4k 收藏 10
点赞数 5
CC 4.0 BY-SA版权
文章标签: openssl ca证书
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cloudfantasy/article/details/115540379

1、查看证书内容

openssl x509 -text -noout -in mydomain.crt

2、创建自签根证书

openssl genrsa -out myCA.key
openssl req -new -x509 -days 3650 -key myCA.key -out myCA.crt

3、创建自签证书请求

请求时候没带x509v3

openssl genrsa -out mykey.key
openssl req -new -key mykey.key -out mycert.csr

4、根证书签发下级证书:

4.1、普通什么都没有,不带x509v3

openssl x509 -req -CA myCA.crt -CAkey myCA.key -CAcreateserial -days 3560 -in mycert.csr -out mycert.crt

4.2、绑定域名或者ip,带x509v3

x509v3信息 

用myca签发下级时候才带x509v3

vim v3.ext

[default]

# Extensions to add to a certificate request

#basicConstraints = CA:TRUE
#keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName=@alt_names

[alt_names]
#DNS.1 = flymote.com
#DNS.2 = *.flymote.com
#DNS.3 = www.flymot.com
#DNS.4 = *.flymot.com
IP.1 = 1.2.3.4
IP.2 = 5.6.7.8

通过自签根证书签发带域名或者ip的证书

openssl x509 -req -CA myCA.crt -CAkey myCA.key -CAcreateserial -days 3560 -in mycert.csr -out mycert-domain.crt -extfile v3.ext

5、转换为pkcs12(.p12)

摘自tomcat ssl配置文档:https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html#Configuration

openssl pkcs12 -export -in mycert.crt -inkey mykey.key\
                        -out mycert.p12 -name tomcat -CAfile myCA.crt\
                        -caname root -chain

别人家一:

https://www.it610.com/article/1288242166862229504.htm

请求文件添加x509信息:

1、拷贝openssl.cnf ,添加 san 信息,openssl req 时候 -config openssl.cnf

2、根证书签发时候再带上 -config openssl.cnf -extensions v3_req。或者里面创建根证书时候带san

总觉得第二部特多余,所以我继续找。

 

别人家二:

https://vircloud.net/operations/sign-ip-crt.html

1、创建根证书后还要添加本地信任

2、创建key时候添加2048

3、创建请求时候没有san

4、配置文件用在根证书签发下级证书,带了证书功能。用-extfile 引入自己写的san配置文件,或者用默认位置openssl.cnf,通过-extensions 指定配置文件中的x509信息块

本地信任我觉得没用,2048多余,特抗拒修改默认配置文件,为什么和第一个参考不同,san配置文件用在下级签发,不是请求?

 

别人家三:

https://blog.csdn.net/qq_24601199/article/details/105535345

不吐2048,serial不知道有什么用,没说到x509 san的事

 

别人家四:

https://www.icode9.com/content-4-681600.html

1、事拷贝openssl.cnf

2、事没说到 basicConstraints = CA:FALSE -> TURE

3、请求和签发都用 -config -extensions 

 

 

看了好多好多。后来我打开 openssl.cnf

前几行就说到,在openssl x509 命令时候用 -extfile 添加 x509v3扩展信息

# To use this configuration file with the "-extfile" option of the
# "openssl x509" utility, name here the section containing the
# X.509v3 extensions to use:
# extensions        =
# (Alternatively, use a configuration file that has only
# X.509v3 extensions in its main [= default] section.)

但是这里 [= default] section 什么意思呢?反正我什么都不加,或者[default]都成功了。basicConstraints = CA:TRUE 都不用

 

 

把自签证书和自签根证书添加到Array后,激活ssl连接,提示证书链不完整?
警告:   cert chain is incomplete for sslv-203, please add interca or rootca

cloudfantasy
关注
openssl自签证书
weixin_46164213的博客
02-27 441
安装nginx yum -y install nginx 查看是否有nginx 的ssl模板 [root@ chen5 ~]# nginx -V nginx version: nginx/1.16.1 built by gcc 4.8.5 20150623 (Red Hat 4.8.5-39) (GCC) built with OpenSSL 1.0.2k-fips 26 Jan 2017 ...
OpenSSL 自签证书
LeoForBest的博客
11-24 573
OpenSSL 自签证书OpenSSL 签发证书命令网页 内网搭建https时需要用到自签证书,顺手用前端弄了个网站方便生成证书 OpenSSL 签发证书命令 # 生成证书 openssl genrsa -out example.com.key 2048 openssl req -x509 -new -nodes -key example.com.key -subj "/CN=example.com" -days 5000 -out example.com.crt # 生成服务证书请求 openss
使用 OpenSSL 构建自签名证书步骤详解
最新发布
dotnet研习社
05-19 1656
本文详细介绍了如何使用 OpenSSL 生成自签名证书,适用于本地测试、内部服务通信等场景。文章从环境准备开始,逐步讲解了如何生成私钥、创建证书签名请求(CSR)、生成自签名证书,并提供了包含扩展信息(如 SAN)的证书生成方法。此外,还介绍了如何验证证书信息,并通过 Node.js 示例展示了如何在本地 HTTPS 服务中使用自签名证书。最后,文章总结了自签名证书的用途和局限性,并鼓励读者通过实践掌握 OpenSSL
openssl 自签证书
小x的博客
07-26 682
//生成CA 密钥 openssl genrsa -out ca-key.pem 2048 // 生成CA 证书 openssl req \ -outform pem -out ca-cert.pem \ -key ca-key.pem -new -x509 \ -days 3650 \ -subj "/CN=trend.com/O=Example Co./OU=Engineering/L=Boston/ST=MA/C=US" //如果没有"basicConstr
OpenSSL自签名证书
爱喝星冰乐的博客
05-28 1418
OpenSSL自签证书
openssl 生成自签名证书
yanghaitao5000的博客
09-01 1517
1、openssl
证书详解及使用openssl生成自签证书与SAN多域名证书
五侠的博客
11-01 2410
生成自签证书 生成SAN多域名证书 使用私有CA签发证书
Windows系统使用OpenSSL生成自签名证书
【大漠孤烟】 的专栏
11-04 4063
Nginx服务器添加SSL证书
使用openssl生成自签证书
weixin_47462906的博客
07-24 341
使用openssl生成自签证书
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
使用OpenSSL自签证书
约定喵
01-05 4499
目录 文章目录目录一. 名词解释1. CA机构2. SSL 证书SSL Certificates)3. HTTPS(超文本传输安全协议)4. 单向认证5. 双向认证二. 获取证书途径三. 使用OpenSSL自签证书前置准备1. 生成CA证书生成步骤注意事项2. 生成服务端证书配置文件生成步骤注意事项3. 生成客户端证书生成步骤四. 配置证书单向认证双向认证五. 吊销列表吊销步骤Nginx使用吊销列表 一. 名词解释 1. CA机构 电子商务认证中心、电子商务认证授权机构。是负责发放和管理数字证书的权威机构
使用Openssl生成自签证书
罗小爬的技术宝书
08-21 9864
graph LR S[开始]-- openssl genrsa-->A1[ca.key] A1-- openssl req --> B(ca.csr) B --openssl ca--> C(ca.cert) C --> D
使用OpenSSL生成自签证书
zpsimon的博客
10-13 2352
使用openssl创建自签名证书
openssl 生成自签证书
曾文锋开发日志
02-01 1017
在要生成证书的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/ ./demoCA/index.txt ./demoCA/serial,在serial文件中写入第一个序列号“01” 1.生成X509格式的CA自签名证书 $openssl req -new -x509 -keyout ca.key -out ca.crt 2.生成服务端的私钥(ke...
OpenSSL 自签证书详解
云原生运维
12-25 7301
数字证书的基本概念 数字证书的标准 X.509版本号:指出该证书使用了哪种版本的X.509标准,版本号会影响证书中的一些特定信息 序列号:由CA给予每一个证书分配的唯一的数字型编号,当证书被取消时,实际上是将此证书序列号放入由CA签发的CRL(Certificate Revocation List证书作废表,或证书黑名单表)中。这也是序列号唯一的原因 签名算法标识符:用来指定CA签署证书时所使用的签名算法,常见算法如RSA 签发者信息:颁发证书的实体的 X.500 名称信息。它通常为一个 CA 证书的有效
ip 自签证书
小胡子
01-06 1125
ip签署证书出现“No subject alternative names present” 异常解决
openssl ip自签名ssl证书怎么生成
09-14
OpenSSL 是一个强大的开源工具,用于实现各种加密功能,包括SSL/TLS协议的实现。要生成一个自签名的SSL证书,可以按照以下步骤操作: 1. 打开终端或命令行界面。 2. 使用OpenSSL生成私钥: ``` openssl genrsa -out mydomain.key 2048 ``` 这条命令会生成一个2048位的RSA私钥,保存在`mydomain.key`文件中。 3. 使用私钥生成CSR(证书签名请求): ``` openssl req -new -key mydomain.key -out mydomain.csr ``` 执行这条命令后,系统会提示你输入一些信息,比如国家、省份、组织名称、域名等,这些信息会被包含在CSR中。 4. 使用私钥和CSR生成自签名证书: ``` openssl x509 -req -days 365 -in mydomain.csr -signkey mydomain.key -out mydomain.crt ``` 这条命令会根据CSR和私钥生成一个有效期为365天的自签名证书证书将被保存在`mydomain.crt`文件中。 完成以上步骤后,你就拥有了一个自签名的SSL证书`mydomain.crt`,以及对应的私钥`mydomain.key`。这种证书在测试环境中非常有用,但在生产环境中,通常需要由受信任的证书颁发机构(CA)签发的证书,以确保安全性和信任性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值