openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer 根证书加密很强,有效期10年问题不大。证书的过期是指赶在黑客还没来得及破解之前搞出新密码,这样,只要破解密码的时间大于加密有效期时间,它就绝对安全。 校验算法尽量使用sha256,s...
这一标准的最新版本是X.509 v3,它定义了包含扩展信息 (extensions)的数字证书。该版数字证书提供了一个扩展信息字段,用来提供更多的灵活性及特殊应用环境下所需的信息传送。 我们通常说的证书都是指 X.509 数字证书,如果不加特别说明,都是指 X.509 v3 版本的。简单来说,v3 版本就是添加了扩展字段的证书。 一...
有两个命令可以作为CA给客户签发证书:CA命令和x509命令,将分为两篇文档分别介绍;对于每个命令又细分为CA根证书签发和证书链签发两个部分,都给出了执行代码,可以将其复制,然后粘贴到Windows命令行窗口执行,或者也可保存为批处理。 使用x509命令签发证书的博文见这里。 批处理会...
因为我们在 powerca.cnf 中添加了 copy_extensions = copy,所以在使用 csr 生成用户证书时可以直接使用中间证书的配置文件(powerca/powerca.cnf)而不用修改。下面先回到 myca 目录下,然后生成用户证书: $ cd .. $ openssl ca-config powerca/powerca.cnf \-extensions server_cert -days1000-notext -md sha...
业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不带扩展属性。 方法: 在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下: >openssl x509-req-days365-sha256-extfileopenssl.cnf-extensionsv3_req-inserver.csr-signkeyserver.key-outserver.crt ...
// 使用CA的公私钥文件给 csr 文件签名,生成中级证书,有效期5年 openssl ca -extensions v3_ca -in roota.csr -out roota.crt -cert CARoot.crt -keyfile CARoot.key -days 1826 -policy policy_anything //生成服务rootb openssl genrsa -out rootb.key 1024 ...
2、颁发V3版本的自签名证书 openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in test.csr -signkey test.key -out test.crt (推荐是把openssl安装后本就有的openssl.cnf复制一份出来,放到你生成证书的文件夹里,然后有修改的话也是修改这个复制出来的配置文件,生成V3证书的时...
extensions v3_ca \ -out /tmp/sssd-softhsm2-OuDCps/test-intermediate-CA-certificate-request.pem 0061C6BF337F0000:error:11000079:X509 V3 routines:v2i_AUTHORITY_KEYID:no issuer certificate:../crypto/x509/v3_akid.c:156: 0061C6BF337F0000:error:11000080:X509 V3 routines:X509V3_EXT_nconf_int:...
4.3 生成自签名证书CA 途径一: 使用X509命令生成V1自签名证书 openssl x509 -req -days 3650 -sha256 -in ca.csr -signkey ca.key -out ca.crt 使用X509命令生成V3自签名证书(推荐) openssl x509 -req -days 3650 -sha256 -extfile openssl.cnf -extensions v3_ca -in test.csr -signkey test.key ...
certificate = $dir/rootca.crt database = $dir/certindex private_key = $dir/rootca.key serial = $dir/certserial default_days = 730 default_md = sha1 policy = myca_policy x509_extensions = myca_extensions crlnumber = $dir/crlnumber ...