Openssl 生成根證書并簽證域名

1. 生成ext文件

echo -e "[v3_req]\n"\
"authorityKeyIdentifier=keyid,issuer\n"\
"basicConstraints=CA:FALSE\n"\
"keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment\n"\
"subjectAltName = @alt_names\n"\
"\n"\
"[alt_names]" > v3.ext

2. 設(shè)定域名證書

echo DNS.1 = www.xxx.com >> v3.ext

請把上面 www.xxx.com 改成自己的需要生成服務器證書的域名

3. 生成根證書(ca)的RSA 密鑰文件

openssl genrsa -out ca_private.key

4. 生成ca的證書請求文件

openssl req -new -key ca_private.key -out ca.req \
    -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=testo/OU=testg/CN=testca"

-subj 參數(shù)中填寫的是證書信息

  • C 是國家編號, 2位數(shù)
  • ST 是省份
  • L 是城市名
  • O 是組織名
  • OU 是組名
  • CN 是證書擁有者名稱

5. 生成ca根證書(自己給自己簽證)

openssl x509 -req -days 3650 -sha256 -extensions v3_ca \
    -signkey ca_private.key -in ca.req -out ca.cer

-days 是根證書的有效天數(shù)
-sha256 是采用sha256離散算法瓦胎,谷歌瀏覽器不在支持sha1算法的安全提示欠橘,也即是說如果用sha1作為參數(shù)夸盟,谷歌瀏覽器可能顯示為不安全

6. 生成服務器網(wǎng)站的SSL密鑰

openssl genrsa -out server_private.key

7. 生成服務器網(wǎng)站的證書請求文件

openssl req -new -key server_private.key -out server.req \
    -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=demo/OU=demog/CN=xxx.com"

subj 的內(nèi)容與#4一樣憔儿,這里是網(wǎng)站使用者的證書信息

8.使用ca根證書生成服務器證書

openssl x509 -req -days 3650 -sha256 -extfile v3.ext -extensions v3_req \
    -CA ca.cer -CAkey ca_private.key -CAserial ca.srl -CAcreateserial \
    -in server.req -out server.cer

最后生成的文件如下:

  • v3.ext 用于生成服務器證書所需要的配置文件, 包含證書綁定的域名
  • ca_private.key ca根證書的密鑰
  • ca.req 生成ca根證書的請求文件
  • ca.cer ca根證書
  • ca.srl 在使用ca根證書簽證網(wǎng)站證書時自動生成的序列文件
  • server_private.key 服務器ssl證書的密鑰
  • server.req 服務器證書生成的請求文件
  • server.cer ca根證書簽證的服務器網(wǎng)站的ssl證書

部署到nginx中只需要 server_private.keyserver.cer

根證書 ca.cer 可以安裝到本地操作系統(tǒng)中對網(wǎng)站的證書進行驗證

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末,一起剝皮案震驚了整個濱河市华糖,隨后出現(xiàn)的幾起案子扫沼,更是在濱河造成了極大的恐慌,老刑警劉巖再悼,帶你破解...
    沈念sama閱讀 223,002評論 6 519
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異膝但,居然都是意外死亡冲九,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,357評論 3 400
  • 文/潘曉璐 我一進店門跟束,熙熙樓的掌柜王于貴愁眉苦臉地迎上來莺奸,“玉大人,你說我怎么就攤上這事冀宴∶鸫” “怎么了?”我有些...
    開封第一講書人閱讀 169,787評論 0 365
  • 文/不壞的土叔 我叫張陵花鹅,是天一觀的道長氧腰。 經(jīng)常有香客問我,道長刨肃,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,237評論 1 300
  • 正文 為了忘掉前任箩帚,我火速辦了婚禮真友,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘紧帕。我一直安慰自己盔然,他們只是感情好,可當我...
    茶點故事閱讀 69,237評論 6 398
  • 文/花漫 我一把揭開白布是嗜。 她就那樣靜靜地躺著愈案,像睡著了一般。 火紅的嫁衣襯著肌膚如雪鹅搪。 梳的紋絲不亂的頭發(fā)上站绪,一...
    開封第一講書人閱讀 52,821評論 1 314
  • 那天,我揣著相機與錄音丽柿,去河邊找鬼恢准。 笑死魂挂,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的馁筐。 我是一名探鬼主播涂召,決...
    沈念sama閱讀 41,236評論 3 424
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼敏沉!你這毒婦竟也來了果正?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 40,196評論 0 277
  • 序言:老撾萬榮一對情侶失蹤盟迟,失蹤者是張志新(化名)和其女友劉穎舱卡,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體队萤,經(jīng)...
    沈念sama閱讀 46,716評論 1 320
  • 正文 獨居荒郊野嶺守林人離奇死亡轮锥,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 38,794評論 3 343
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了要尔。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片舍杜。...
    茶點故事閱讀 40,928評論 1 353
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖赵辕,靈堂內(nèi)的尸體忽然破棺而出既绩,到底是詐尸還是另有隱情,我是刑警寧澤还惠,帶...
    沈念sama閱讀 36,583評論 5 351
  • 正文 年R本政府宣布饲握,位于F島的核電站,受9級特大地震影響蚕键,放射性物質(zhì)發(fā)生泄漏救欧。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 42,264評論 3 336
  • 文/蒙蒙 一锣光、第九天 我趴在偏房一處隱蔽的房頂上張望笆怠。 院中可真熱鬧,春花似錦誊爹、人聲如沸蹬刷。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,755評論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽办成。三九已至,卻和暖如春搂漠,著一層夾襖步出監(jiān)牢的瞬間迂卢,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,869評論 1 274
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留冷守,地道東北人刀崖。 一個月前我還...
    沈念sama閱讀 49,378評論 3 379
  • 正文 我出身青樓,卻偏偏與公主長得像拍摇,于是被迫代替她去往敵國和親亮钦。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 45,937評論 2 361

推薦閱讀更多精彩內(nèi)容