3.3 创建证书请求 3.4 生成服务器证书扩展信息 3.5 生成服务器证书 四、验证 4.1 浏览器验证 4.2 openssl验证 本文用于记述如何使用openssl生成CA根证书并为目标服务器颁发数字证书。 假设有一个名叫xxoo的组织,它要自己弄个CA,给自己的内部服务颁发数字证书。 一、环境记述 操作系统: linuxmint 20.1,与ubuntu类似。
验证证书合法:指客户端首先从cert中读取该证书的签发ca(这里会涉及到证书链的问题,暂时可简单理解为,所有证书都是根证书机构签发),然后使用该ca的公钥去解密证书的签名(非对称加密,私钥加密,公钥解密),获得摘要信息A;然后使用证书中指定的摘要算法计算证书的摘要B;第三步判摘要A是否和摘要B相等。 tls单向认证:一般...
1、生成客户端私钥 openssl genrsa -aes256 -out client.key 2048 2、申请证书 openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=admin@test.com" 3、使用CA证书签署客户端证书 openssl x509 -req -days 36500 ...
openssl x509-days3650-req-inca.csr.pem-signkeyprivate/ca.key.pem-outca.crt.pem 自签名证书无法使用配置文件,CA服务器证书也是自签名证书,所以也不能使用配置文件 生成的证书都是pem格式的,文件名是ca.crt.pem或者ca.crt都无所谓 1.3 证书颁发之配置文件准备openssl.cnf 确认配置文件中ca相关信息(CA_default...
一、创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf 2)创建所需的文件 touch /etc/pki/CA/index.txt echo 01 >/etc/pki/CA/serial 3)CA自签证书生成私钥 cd /etc/pki/CA (umask 066;openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048) ...
11. 准备嵌入证书中的域名信息 12. 使用CA签发网页的证书CRT 13. 如果你使用IIS作为网页服务器,那么需要生成PFX文件 14. 给IIS导入PFX文件,并为网站添加证书。 14.1. 首先把CA和网站的PFX证书复制到服务器上 14.2. 然后安装CA的公钥。 14.3. 把PFX加入证书清单 14.4. 去网站添加绑定 重要说明: 本文流程存在问...
之后看一下certs文件夹里生成的ca.cer证书文件: 用根证书签发server端证书 和生成根证书的步骤类似,这里就不再介绍相同的参数了。 a).生成服务端私钥 ? 1 openssl genrsa -aes256 -out private/server-key.pem 1024 b).生成证书请求文件 ? 1 2
(2) 生成服务器证书申请文件 openssl req -new -key ser.prikey -out ser.csr [root@sulibao ca_ca]# openssl req -new -key ser.prikey -out ser.csr (3)把服务器申请文件发送给CA机构,请求签发证书 openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial ...
二、OpenSSL:创建私有证书签发机构CA步骤 在确定配置为CA的服务器主机上生成一个自签证书,并为CA提供所需要的目录及文件; 在真正的通信过程中CA服务器主机不需要网络参与,只需要参与到签名中,不需要提供服务 1.生成私钥; ~]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096) ...
利用OpenSSL可以自己作为CA进行证书签发,当然这并不权威。 CA签发证书生成的cacert.pem 见“建立CA颁发证书” 有了private.key和cacert.pem文件后就可以在自己的程序中使用了,比如做一个加密通讯的服务器从证书中提取公钥 openssl x509 -in cacert.pem -pubkey >> public.key ...