自簽名證書如何生成漂羊,相關(guān)各后綴文件的意義


本文主要內(nèi)容有兩點(diǎn):

1. centos 環(huán)境使用openssl生成自簽名證書?

2. 如何使用(讓瀏覽器信任)自簽名證書卸留?

3. ssl證書相關(guān)的文件有哪幾種后綴走越,各有何意義?

4. ssl證書介紹

centos 環(huán)境使用openssl生成自簽名證書 [1][2]

  1. 修改CA的配置文件
    vi /etc/pki/tls/openssl.cnf
    注意policy_match


  2. 創(chuàng)建初始文件
    cd /etc/pki/CA
    touch index.txt serial
    echo 01 > serial
    ll


  3. 生成CA根秘鑰
    openssl genrsa -out private/cakey.pem 2048
    chmod 400 private/cakey.pem

  4. 生成CA 根證書
    openssl req -new -x509 -key private/cakey.pem -out cacert.pem


    根證書需輸入的信息
  5. 在需要申請(qǐng)證書的server上生成ssl密鑰對(duì)(這里server與ca機(jī)構(gòu)使用的同一臺(tái)服務(wù)器)
    cd /etc/pki/server-example
    openssl genrsa -out server.key 2048
    openssl req -new -key server.key -out server.csr
    注意此處的country要與步驟4中ca根證書的country一致耻瑟,因?yàn)樵诓襟E1中的配置文件policy_match的countryName設(shè)置為了match

  6. 我們的CA為server的請(qǐng)求簽署證書

openssl ca -in server.csr -keyfile /etc/pki/CA/private/cakey.pem -cert /etc/pki/CA/cacert.pem -extensions SAN -config <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:*.dana-tech.com,DNS:dana-tech.com")) -out server.crt


注意:為weilei.com簽發(fā)的證書旨指,chrome中提示不安全(如下圖),firefox和edge中為安全喳整,為*.weilei.com簽發(fā)證書谆构,簽發(fā)命令中需增加san擴(kuò)展的語句。

如何使用(讓瀏覽器信任)自簽名證書框都?

將ca根證書導(dǎo)入到受信任的根證書頒發(fā)機(jī)構(gòu)中(windows中)搬素;

  • 證書導(dǎo)入到控制臺(tái)(edge和ie有效)
    • win+r 運(yùn)行mmc
    • 文件>添加刪除管理單元>證書>添加>完成>確定
    • 受信任的根證書頒發(fā)機(jī)構(gòu)>證書>(右鍵)所有任務(wù)>導(dǎo)入
  • 根證書導(dǎo)入到chrome瀏覽器
    • 設(shè)置>高級(jí)>管理證書>導(dǎo)入
  • 根證書導(dǎo)入到firefox瀏覽器
    • 選項(xiàng)>隱私與安全>證書>查看證書>導(dǎo)入

ssl證書相關(guān)的文件有哪幾種后綴,各有何意義?

ssl證書實(shí)際使用(權(quán)威機(jī)構(gòu)給我們頒發(fā)的證書)中有密鑰文件熬尺、證書文件摸屠、證書鏈文件(權(quán)威ca頒發(fā)給中間頒發(fā)者這樣的鏈路說明)[3]

  • X.509可以有以下兩種編碼格式(也可作為文件后綴):PEM(Base64編碼,查看命令openssl x509 -in certificate.pem -text -noout)粱哼,DER(二進(jìn)制格式季二,查看命令openssl x509 -in certificate.der -inform der -text -noout)
  • 密鑰文件,以key為后綴揭措,編碼可以為pem或der
  • 證書文件胯舷,linux多以crt為后綴(大多為pem編碼),windows多以cer為后綴(大多為der編碼)
  • 證書鏈文件 绊含,格式類似證書文件
  • 其他相關(guān)文件(自簽名證書會(huì)涉及到)
    • 證書簽名請(qǐng)求文件桑嘶,后綴名為csr,而是向證書頒發(fā)機(jī)構(gòu)請(qǐng)求簽名證書的申請(qǐng)艺挪,包含了公鑰和一些申請(qǐng)信息不翩,對(duì)應(yīng)的私鑰自己保存好
    • PFX/P12 - predecessor of PKCS#12,對(duì)*nix服務(wù)器來說,一般CRT和KEY是分開存放在不同文件中的麻裳,但Windows的IIS則將它們存在一個(gè)PFX文件中,(因此這個(gè)文件包含了證書及私鑰)這樣會(huì)不會(huì)不安全口蝠?應(yīng)該不會(huì),PFX通常會(huì)有一個(gè)"提取密碼",你想把里面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時(shí)DER編碼,PFX其實(shí)是個(gè)證書密鑰庫.
    • JKS - 即Java Key Storage,這是Java的專利,跟OpenSSL關(guān)系不大,利用Java的一個(gè)叫"keytool"的工具,可以將PFX轉(zhuǎn)為JKS,當(dāng)然了,keytool也能直接生成JKS.

SSL證書介紹

SSL證書的介紹可移步我的另一篇文章SSL證書

參考文章


  1. 基于OpenSSL自建CA和頒發(fā)SSL證書 ?

  2. linux中openssl生成證書和自簽證書 ?

  3. 那些證書相關(guān)的玩意兒(SSL,X.509,PEM,DER,CRT,CER,KEY,CSR,P12等) ?

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末津坑,一起剝皮案震驚了整個(gè)濱河市妙蔗,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌疆瑰,老刑警劉巖眉反,帶你破解...
    沈念sama閱讀 222,681評(píng)論 6 517
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異穆役,居然都是意外死亡寸五,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,205評(píng)論 3 399
  • 文/潘曉璐 我一進(jìn)店門耿币,熙熙樓的掌柜王于貴愁眉苦臉地迎上來梳杏,“玉大人,你說我怎么就攤上這事淹接∈裕” “怎么了?”我有些...
    開封第一講書人閱讀 169,421評(píng)論 0 362
  • 文/不壞的土叔 我叫張陵塑悼,是天一觀的道長(zhǎng)劲适。 經(jīng)常有香客問我,道長(zhǎng)厢蒜,這世上最難降的妖魔是什么霞势? 我笑而不...
    開封第一講書人閱讀 60,114評(píng)論 1 300
  • 正文 為了忘掉前任烹植,我火速辦了婚禮,結(jié)果婚禮上支示,老公的妹妹穿的比我還像新娘刊橘。我一直安慰自己,他們只是感情好颂鸿,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,116評(píng)論 6 398
  • 文/花漫 我一把揭開白布促绵。 她就那樣靜靜地躺著,像睡著了一般嘴纺。 火紅的嫁衣襯著肌膚如雪败晴。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 52,713評(píng)論 1 312
  • 那天栽渴,我揣著相機(jī)與錄音尖坤,去河邊找鬼。 笑死闲擦,一個(gè)胖子當(dāng)著我的面吹牛慢味,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播墅冷,決...
    沈念sama閱讀 41,170評(píng)論 3 422
  • 文/蒼蘭香墨 我猛地睜開眼纯路,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來了寞忿?” 一聲冷哼從身側(cè)響起驰唬,我...
    開封第一講書人閱讀 40,116評(píng)論 0 277
  • 序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎腔彰,沒想到半個(gè)月后叫编,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 46,651評(píng)論 1 320
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡霹抛,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,714評(píng)論 3 342
  • 正文 我和宋清朗相戀三年搓逾,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片杯拐。...
    茶點(diǎn)故事閱讀 40,865評(píng)論 1 353
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡霞篡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出藕施,到底是詐尸還是另有隱情寇损,我是刑警寧澤凸郑,帶...
    沈念sama閱讀 36,527評(píng)論 5 351
  • 正文 年R本政府宣布裳食,位于F島的核電站,受9級(jí)特大地震影響芙沥,放射性物質(zhì)發(fā)生泄漏诲祸。R本人自食惡果不足惜浊吏,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,211評(píng)論 3 336
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望救氯。 院中可真熱鬧找田,春花似錦、人聲如沸着憨。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,699評(píng)論 0 25
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽甲抖。三九已至漆改,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間准谚,已是汗流浹背挫剑。 一陣腳步聲響...
    開封第一講書人閱讀 33,814評(píng)論 1 274
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留柱衔,地道東北人樊破。 一個(gè)月前我還...
    沈念sama閱讀 49,299評(píng)論 3 379
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像唆铐,于是被迫代替她去往敵國和親哲戚。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,870評(píng)論 2 361

推薦閱讀更多精彩內(nèi)容