在OpenSSL 配置文件中,v3_req 和req_ext 是两个不同的部分,它们用于定义证书请求(CSR)和证书扩展的配置。理解它们的差异对于正确配置和生成证书非常重要。 v3_req v3_req 通常用于定义在证书请求(CSR)中包含的扩展。它主要用于在生成 CSR 时指定扩展信息。以下是一个示例配置: 代码语言:javascript 复制 [ req ...
在OpenSSL 配置文件中,v3_req 和req_ext 是两个不同的部分,它们用于定义证书请求(CSR)和证书扩展的配置。理解它们的差异对于正确配置和生成证书非常重要。 v3_req v3_req 通常用于定义在证书请求(CSR)中包含的扩展。它主要用于在生成 CSR 时指定扩展信息。以下是一个示例配置: 代码语言:javascript 复制 [ req ...
distinguished_name = req_distinguished_name req_extensions = v3_req [req_distinguished_name] countryName = CN countryName_default = CN stateOrProvinceName = Beijing stateOrProvinceName_default = Beijing localityName = Beijing localityName_default = Beijing organizationName = WangAo organizationName_def...
openssl x509 -req -days 3650 -sha256 -extensions v3_ca -signkey private/cakey.pem -in private/ca.csr -out certs/ca.cer 根证书加密很强,有效期10年问题不大。证书的过期是指赶在黑客还没来得及破解之前搞出新密码,这样,只要破解密码的时间大于加密有效期时间,它就绝对安全。 校验算法尽量使用sha256,s...
业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不带扩展属性。 方法: 在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下: >openssl x509-req-days365-sha256-extfileopenssl.cnf-extensionsv3_req-inserver.csr-signkeyserver.key-outserver.crt ...
2、req指令说明 上一节我们看到了申请证书流程,生成密钥对我们已经知道,那么如何生成证书请求呢,req指令就该上场了,我们可以查看req的man手册,如下 openssl req [-inform PEM|DER] [-outform PEM|DER] [-infilename] [-passin arg] [-outfilename] [-passout arg] [-text] [-pubkey] [-noout] [-verify...
业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不带扩展属性。 方法 在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下: openssl x509 -req -days365-sha256 -extfile openssl.cnf -extensions v3_req -inserver.csr -signkey server.key -outserver.crt ...
创建包含SAN的证书 SAN:Subject Alternative Name 修改openssl.cnf 拷贝/etc/pki/tls/openssl.cnf到当前目录,做如下修改: 打开copy_extensions 在CA_default节 打开req_extensions 在req节 增加subjectAltName 在v3_req节 生成CSR证书请求文件 先生成证书私钥test...
伪命令req大致有3个功能:生成证书请求文件、验证证书请求文件和创建根CA。由于openssl req命令选项较多,所以先各举几个例子,再集中给出openssl req的选项说明。若已熟悉openssl req和证书请求相关知识,可直接跳至后文查看openssl req选项整理,若不熟悉,建议从前向后一步一步阅读。
openssl req -new -newkey dsa:DSA.param -out client.pem -keyout DSA.pem -batch -nodes Generating a 1024 bit DSA private key writing new private key to 'DSA.pem' --- [ 复制代码 ](javascript:void(0); "复制代码") 3、生成自签名...