openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer 根证书加密很强,有效期10年问题不大。证书的过期是指赶在黑客还没来得及破解之前搞出新密码,这样,只要破解密码的时间大于加密有效期时间,它就绝对安全。 校验算法尽量使用sha256,s...
name_opt = ca_default # Subject Name options cert_opt = ca_default # Certificate field options # Extension copying option: use with caution. # copy_extensions = copy # Extensions to add to a CRL. Note: Netscape communicator chokes on V2 CRLs # so this is commented out by default to le...
$ openssl ca-config powerca/powerca.cnf \-extensions server_cert -days1000-notext -md sha256 \-inbigxa/csr/bigxa.csr.pem \-out bigxa/certs/bigxa.cert.pem 这次输入的密码为 powerca 秘钥的保护密码:123456。 如果发生 "TXT_DB error number 2" 的错误,把 powerca/db/index 文件中相同名称的...
有两个命令可以作为CA给客户签发证书:CA命令和x509命令,将分为两篇文档分别介绍;对于每个命令又细分为CA根证书签发和证书链签发两个部分,都给出了执行代码,可以将其复制,然后粘贴到Windows命令行窗口执行,或者也可保存为批处理。 使用x509命令签发证书的博文见这里。 批处理会...
root@ubuntu:/home/bert/x64/openssl/bin#openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_req -in ca.csr -signkey ca.key -out ca.crt Signature ok subject=/C=CN/ST=Guangdong/L=Shenzhen/O=saturday/OU=saturday/CN=saturday/emailAddress=bert@saturday.com ...
Enter pass phrase for private/rootca.key: (输入CA私钥保护密码) Verifying - Enter pass phrase for private/rootca.key: (输入确认CA私钥保护密码) # 生成自签名的CA根证书 $ openssl req -config openssl.cnf -new -x509 -days 3650 -sha256 -extensions v3_ca -key private/rootca.key -out certs/...
业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不带扩展属性。 方法 在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下: openssl x509 -req -days365-sha256 -extfile openssl.cnf -extensions v3_req -inserver.csr -signkey server.key -outserver.crt ...
openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in test.csr -signkey test.key -out test.crt (推荐是把openssl安装后本就有的openssl.cnf复制一份出来,放到你生成证书的文件夹里,然后有修改的话也是修改这个复制出来的配置文件,生成V3证书的时候指定比较方便,同时也不影响...
openssl req -batch -new -nodes \ -passin pass:random-intermediate-CA-password-18641 \ -config /tmp/sssd-softhsm2-OuDCps/test-intermediate-CA.config \ -key /tmp/sssd-softhsm2-OuDCps/test-intermediate-CA-key.pem \ -passout pass:random-root-CA-password-12866 -sha256 \ -extensions v3_c...
1 搭建CA 1.1 建立CA目录与文件 基于默认配置文件(openssl.conf)有稍作改动以便于使用 目录结构: kevin@kevin-TM1701:~/gaoshi/zzxia-CA-openssl$ tree . ├── ca.crt.pem ├── ca.csr.pem ├── certs ├── crl ├── crlnumber