證書生成過程介紹
證書的目的是建立特定金鑰對與特定實體之間的聯絡。
自簽名根證書是指一堆金鑰對的私鑰對自己相應的公鑰生成的證書請求進行簽名而頒發的證書,證書的申請人和簽發人都是同乙個。
證書認證請求檔案(csr檔案)
將證書請求檔案(csr檔案)給ca簽發
req 指令
req指令既可以直接生成乙個新的自簽名證書,也可以根據現有的證書請求和其相應私鑰生成自簽名根證書。如果是根據現有證書請求生成自簽名根證書,那麼一定要-key選項指定相應的私鑰指令才能執行成功。
req 指令也可以生成金鑰對,但在使用req 同時生成金鑰對是對金鑰對儲存和格式有限制(只能是pem編碼,des3-cbc模式加密)。如果需要更靈活的處理,可以使用genrsa或者gendsa先生成金鑰然後使用-key選項指定。
引數選項
使用例項
openssl req -new -newkey rsa:2048 -keyout private.pem -passout pass:12345678 -out request.pem
openssl req -in request.pe -verify -noout
openssl req -x509 -newkey rsa:2048 -keyout private.pem -passout pass:12345678 -out selfsign.crt
openssl req -text -in fd.csr -noout
ca 指令
ca指令模擬乙個完整的ca伺服器,它包括簽發使用者證書,吊銷證書,產生crl及更新證書庫等管理操作
引數選項
x509
x509指令能已各種方式顯示乙個證書的內容,也可以對乙個證書的格式進行轉換,還可以簽發證書
引數選項
使用例項
openssl x509 -x509toreq -in fd.crt -out fd.csr -signkey fd.key
openssl x509 -req -days 365 -in fd.csr -signkey fd.key -out fd.crt
openssl x509 -text -in fd.crt -noout
crl指令
crl指令用於顯示、處理和驗證crl檔案資訊
引數選項
生成認證私鑰 私鑰 私鑰
要輸入密碼
openssl genrsa -des3 -out domain-dev-enc.key 2048
可以通過如下方式解密(輸入上面的密碼)
openssl rsa -in domain-dev-enc.key -out domain-dev.key
生成帶有san(subject alt name)的自簽名證書
生成對多個主機有效的自簽名證書
missing_subjectaltname 問題解決
原有的簡單自簽名證書在chrome裡面不好使了,提示 missing_subjectaltname
openssl req -new -sha256 \-x509 \
-days 10000
\ -key domain-dev.key \
-subj "
/c=cn/st=beijing/l=beijing/o=qunar/ou=fe/cn=domain.com"\
-extensions san \
-config <(cat ./openssl.cnf \
<(printf "
[san]\nsubjectaltname=dns.1:domain.com,dns.2:q.domain.com,dns.3:*.domain.com
")) \
-out domain-dev.crt
相關欄位的資訊
c => 國家 country
st => 省 state
l => 市 city
o => 機構 organization
ou => 部門 organization unit
cn => 網域名稱 common name (證書所請求的網域名稱)
emailaddress => main administrative point of contact for the certificate
《openssl與網路資訊保安-基礎、結構和指令》
《openssl攻略》
《openssl程式設計》
openssl文件
openssl命令
openssl 給自己頒發根證書,由根證書簽發下級證書的步驟。
使用 openssl 製作乙個包含 san(subject alternative name)的證書
openssl證書新增多個ip
使用openssl為ssl證書增加「使用者備用名稱(dns)」
multiple ssl sites using subjectaltname
多個ssl站點使用subjectaltname教程
openssl生成證書鏈多級證書
Windows下使用OpenSSL生成自簽證書
生成證書 生成crt證書 cmd進入安裝bin目錄,執行命令 openssl req x509 sha256 nodes days 1095 newkey rsa 2048 keyout self.key out self.crt subj cn com config openssl.cnf 格式轉...
使用OpenSSL生成自簽名SSL證書
在server中配置 在瀏覽器中訪問 注意參見 create self signed cert.sh create self signed cert.sh c cn st guangdong l guangzhou o xdevops ou xdevops cn gitlab.xdevops.cn ...
openssl生成自簽名證書
開啟終端,按如下步驟製作證書 1 會生成server.key檔案 openssl genrsa des3 out server.key 2048 2 建立證書請求,會生成server.csr。common name 網域名稱 openssl req new key server.key out se...