openssl生成证书

一．环境 Server：基于 CentOS -7-x86_64-1511 Server IP: 172.18.12.203 OpenLDAP：openldap-2.4.44已安装 二．准备工作 1. 依赖包 #理论上只需要openssl与openssl-devel yum install *openssl* -y openldap编译需要开启"--with-tls"选项，可通过"./configure --help"查看相关说明，请参考： http://www.linuxidc.com/Linux/2017-10/147559.htm ； openssl相关依赖包一定要安装在openldap安装之前，在openldap安装之后再yum安装openssl相关依赖包，运行ldaps命令时时报" 573d212b daemon: TLS not supported (ldaps://0.0.0.0:636/)"错(如下图)，安装openssl相关包之后重新编译安装openldap解决。 可以使用" /usr/local/openldap-2.4.44/libexec/slapd"命令查看执行命令是否关联相应libraries，上面就是通过此方法定位故障点的： http://comments.gmane.org/gmane.network.openldap.technical/874 2.

通过openssl生成证书 openssl req -newkey rsa:2048 -nodes -keyout my.key -x509 -days 365 -out my.cer openssl pkcs12 -export -in my.cer -inkey my.key -out my.pfx 将pfx设置为Embedded resource program 添加代码 public static IHostBuilder CreateHostBuilder(string[] args) => Host.CreateDefaultBuilder(args) .ConfigureWebHostDefaults(webBuilder => { webBuilder.UseKestrel(opt => opt.ConfigureHttpsDefaults(x => x.ServerCertificate = Certificate.Get())); webBuilder.UseStartup<Startup>(); }); 源码： https://github.com/wswind/Support-SSL-Sample.git 参考： https://www.cnblogs.com/edisonchou/p/identityserver4_foundation_and

Chrome下自签名证书提示无效的问题 发现chrome验证证书很严格，必须带有Subject Alternative Name. 签发csr时，修改openssl.cnf （windows 所在目录 :\OpenSSL\bin\cnf\openssl.cnf ） 在 [ req ]节添加 req_extetions = v3_req 生成 CSR 文件时读取名叫 v3_req 的节的配置， [ v3_req ] # Extensions to add to a certificate request basicConstraints = CA:FALSE keyUsage = nonRepudiation, digitalSignature, keyEncipherment subjectAltName = @alt_names 在 alt_names 添加域名 DNS.1 = localhost DNS.2 = your.doman.com 生成csr openssl req -sha256 -newkey rsa:2048 -nodes -keyout ssl.key -x509 -days 3650 -out ssl.crt -config ./cnf/openssl.cnf -extensions v3_req 填写完信息后，即可生成 对应的 key 和 srt 文件；

墨菲定律 墨菲定律：一种心理学效应，是由爱德华·墨菲（Edward A. Murphy）提出的， 原话：如果有两种或两种以上的方式去做某件事情，而其中一种选择方式将导 致灾难，则必定有人会做出这种选择 主要内容： 任何事都没有表面看起来那么简单 所有的事都会比你预计的时间长 会出错的事总会出错 如果你担心某种情况发生，那么它就更有可能发生 安全机制 信息安全防护的目标 保密性 Confidentiality 完整性 Integrity：数据确定完好，不能被篡改 可用性 Usability：read5（高可用性）系统的总体运行时间占全部时间的百分比，百分比越 高，可用性越高，百分比按年计算，%99.9 当机10小时 可控制性Controlability 不可否认性 Non-repudiation 安全防护环节 物理安全：各种设备/主机、机房环境 系统安全：主机或设备的操作系统 应用安全：各种网络服务、应用程序 （文件共享） 网络安全：对网络访问的控制、防火墙规则（iptables -vnL iptables -F） 数据安全：信息的备份与恢复、加密解密 管理安全：各种保障性的规范、流程、方法 安全攻击： STRIDE 1 Spoofing 假冒 （钓鱼网站，可以通过看域名辨别） 2 Tampering 篡改 （发邮件给tom mail -s test tom .或者ctrl

本文主要讲weblogic服务器所需的密钥库文件的生成及使用，前提是weblogic上web项目已经发布好了。 下载openssl地址 linux：源码( http://www.openssl.org/source/ )，源码要编译好才能用，具体方法百度; 或者直接yum install openssl -y 安装openssl windows: http://www.slproweb.com/products/Win32OpenSSL.html 使用openssl制作证书及密钥库 //根证书制作 openssl genrsa -out ca/ca -key . pem 2048 openssl req -new -out ca/ca -req . csr -key ca/ca -key . pem -config openssl . cfg -subj "/CN=ybj/OU=hr/O=hr/L=sh/ST=sh/C=CN" openssl x509 -req -in ca/ca -req . csr -out ca/ca -cert . pem -signkey ca/ca -key . pem -days 3650 //生成密钥库文件 keytool -genkey -alias example -validity 3650 -keyalg RSA -keysize 1024

转自：https://www.cnblogs.com/littleatp/p/5878763.html 使用 openssl 生成证书 一、openssl 简介 openssl 是目前最流行的 SSL 密码库工具，其提供了一个通用、健壮、功能完备的工具套件，用以支持SSL/TLS 协议的实现。 官网： https://www.openssl.org/source/ 构成部分 密码算法库 密钥和证书封装管理功能 SSL通信API接口 用途 建立 RSA、DH、DSA key 参数 建立 X.509 证书、证书签名请求(CSR)和CRLs(证书回收列表) 计算消息摘要 使用各种 Cipher加密/解密 SSL/TLS 客户端以及服务器的测试 处理S/MIME 或者加密邮件 二、RSA密钥操作 PKCS#1-PEM 生成RSA私钥(无加密) openssl genrsa -out rsa_private.key 2048 生成RSA公钥 openssl rsa - in rsa_private.key -pubout -out rsa_public.key 生成RSA私钥(使用aes256加密) openssl genrsa -aes256 -passout pass: 111111 -out rsa_aes_private.key 2048 其中 passout 代替shell

目标是生成服务器证书（证书链是 ca根 → abc ）。在win10安装OpenSSL-Win64测试如下： 生成根 openssl genrsa -out c:\t\ca.key 2048 ――生成私钥 openssl req -x509 -new -nodes -key c:\t\ca.key -subj "/CN=qq.com/OU=department/O=CorpName/L=beijing/ST=Haidian/C=CN" -days 36500 -out c:\t\ca.cer――生成证书 openssl pkcs12 -export -clcerts -name sj.com -inkey c:\t\ca.key -in c:\t\ca.cer -passout pass:123456 -out c:\t\ca.p12――生成p12证书 p12格式证书可以看成是一个有密码的压缩包，里面包含两个文件（cer证书和私钥）。 生成"ca根->abc" openssl genrsa -out c:\t\abc.key 2048――生成私钥 openssl req -new -key c:\t\abc.key -subj "/CN=abc/OU=department/O=CorpName/L=beijing/ST=Haidian/C=CN" -out c:\t\abc.csr

mysql ssl 生成秘钥 1 check ssl是否已经开启 mysql > show variables like '%ssl%' ; + ---------------+----------+ | Variable_name | Value | + ---------------+----------+ | have_openssl | DISABLED | | have_ssl | DISABLED | | ssl_ca | | | ssl_capath | | | ssl_cert | | | ssl_cipher | | | ssl_crl | | | ssl_crlpath | | | ssl_key | | + ---------------+----------+ 9 rows in set ( 0.00 sec ) 2 没有开启,所以打开 在my.cnf末尾端设置ssl 参数， 然后重新启动mysql服务即可 mysql > show variables like '%ssl%' ; + ---------------+-------+ | Variable_name | Value | + ---------------+-------+ | have_openssl | YES | | have_ssl | YES | | ssl_ca | | | ssl

转载请注明出处： http://blog.csdn.net/dongdong9223/article/details/80830959 本文出自【 我是干勾鱼的博客 】 我们都知道http请求是明文传输，也就意味着数据交互传输是不安全的，极有可能被截获，也有可能被篡改，使用https请求已经是一个大趋势了。今天就来讲讲通过自签名自己实现https请求的实现方法。 Ingredient: linux： Ubuntu 18.04 LTS(cat /etc/issue) openssl： OpenSSL 1.1.0g 2 Nov 2017(openssl version -a) jdk： Java SE Development Kit 8u162 ( Oracle Java Archive ) tomcat： Tomcat 8.5.30 这里为什么还要使用jdk呢？是因为服务器端经过ca认证的证书，即“crt”类型的文件，生成出来之后，还要在使用openssl命令对其生成一个p12文件，然后就是要使用jdk的“keytool”命令针对这个“p12”类型的文件生成一个keystore类型的文件，此文件是服务器端存放证书的容器。在tomcat的： {tomcat}/conf/server.xml 文件中，要配置好这个keystore类型文件的位置，因为tomcat在启动时会引用这个文件。

利用OpenSSL生成库和命令程序,在生成的命令程序中包括对加/解密算法的测试,openssl程序,ca程序.利用openssl,ca可生成用于C/S模式的证书文件以及CA文件. 证书文件的生成步骤: 一、服务器端 1.生成服务器端的私钥(key文件); openssl genrsa -des3 -out server.key 1024 运行时会提示输入密码,此密码用于加密key文件(参数des3是加密算法,也可以选用其他安全的算法),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果不要口令,则可用以下命令去除口令: openssl rsa -in server.key -out server.key 2.生成服务器端证书签名请求文件(csr文件); openssl req -new -key server.key -out server.csr 生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其 提示一步一步输入要求的个人信息即可(如:Country,province,city,company等). 二、客户端 1.对客户端也作同样的命令生成key及csr文件; openssl genrsa -des3 -out client.key 1024