openssl生成证书

在做之前需要将nginx建好，保证端口打开 一、检查openssl是否安装 [root@localhost ~]# rpm -qa openssl openssl-1.0.2k-16.el7_6.1.x86_64 二、创建根证书CA 1、生成CA私钥 [root@localhost openssl]# openssl genrsa -out local.key 2048 Generating RSA private key, 2048 bit long modulus .............................+++ ..............................................................................+++ e is 65537 (0x10001) [root@localhost openssl]# ls local.key 2、生成CA证书请求 [root@localhost openssl]# openssl req -new -key local.key -out local.csr You are about to be asked to enter information that will be incorporated into your certificate request.

生成思路: 1.创建CA私钥 (ROOT根证书) 2.生成CA证书请求 3.CA私钥自签名CA证书并导出 根证书.cer 4.创建中间证书 私钥 5.生成中间证书请求 6.CA私钥签名并导出 中间证书.cer 7.创建 用户证书私钥 8.生成用户证书请求 9.中间证书私钥签名并导出 用户证书.p12 (包含公钥证书+用户证书私钥) 最终得到: 根证书.cer , 中间证书.cer , 用户证书.pfx 参考文档: ? 生成自签名CA证书与中证书 https://blog.csdn.net/moonhillcity/article/details/52768218 生成中间证书并使用根证书CA签名 可指定版本算法 https://blog.csdn.net/ld11690/article/details/79205566 openssl x509命令详解 https://blog.csdn.net/abccheng/article/details/82697237 CA证书与用户证书的区别及其配置 https://blog.csdn.net/howeverpf/article/details/21622545#t2 1.建立工作环境: mkdir -p ./demoCA/newcerts touch demoCA/index.txt touch demoCA/serial echo

什么是x509证书链 x509证书一般会用到三类文件，key，csr，crt。 key 是私用密钥，openssl格式，通常是rsa算法。 csr 是证书请求文件，用于申请证书。在制作csr文件的时候，必须使用自己的私钥来签署申请，还可以设定一个密钥。 crt 是CA认证后的证书文件（windows下面的csr，其实是crt），签署人用自己的key给你签署的凭证。 概念 证书类别 根证书 生成服务器证书，客户端证书的基础。自签名。 服务器证书 由根证书签发。配置在服务器上。 客户端证书 由根证书签发。配置在服务器上，并发送给客户，让客户安装在浏览器里。 要注意 服务器证书的cn要和servername一致，否则启动httpd时有警告。 浏览器安装客户端证书时，需要用pkcs12转换成pfx格式，否则可以安装但无效。 把根证书安装到浏览器的受信CA中，访问服务器时就不会出警告了。 首先要有一个CA根证书，然后用CA根证书来签发用户证书。用户进行证书申请：一般先生成一个私钥，然后用私钥生成证书请求(证书请求里应含有公钥信息)，再利用证书服务器的CA根证书来签发证书。 openssl中有如下后缀名的文件 .key格式：私有的密钥 .csr格式：证书签名请求（证书请求文件），含有公钥信息，certificate signing request的缩写 .crt格式：证书文件

相关说明： 转载于：http://www.cnblogs.com/yangyquin/p/5284530.html 在原有的基础上总结了一些本人安装过程中的一些问题 参考资料：http://blog.sina.com.cn/s/blog_7ea5cb4d0100xfce.html http://www.fx114.net/qa-171-1496.aspx http://blog.csdn.net/fengyunzhongwei/article/details/44570917 http://blog.csdn.net/boss666666/article/details/10284649 相关软件： 1、ActivePerl 5.22.1 ： http://www.activestate.com/activeperl/downloads 2、Microsoft visual_studio_2010_professional： http://pan.baidu.com/s/1o6SsDn0 3、OpenSSL（openssl-1.0.2g）： http://www.openssl.org/source/ 安装过程： 1、安装ActivePerl软件 安装ActivePerl软件只需要一步一步进行安装即可。安装完成后用cmd命令行的形式进入到安装目录，比如我把它安装在C:\Perl64

在服务器端创建证书 一、使用openssl生成CA证书 #在/tmp目录下新建一个ca文件夹，并在ca文件夹下创建四个子文件夹 [root @linux -node ~] # mkdir -p /tmp/ca/{newcerts,private,conf,server} [root @linux -node ~] # cd /tmp/ca/ newcerts 目录用于存放CA签署过的数字证书。 private 目录用于存放CA的私钥。 conf 目录用于存放一些简化参数用的配置文件。 server 目录存放服务器证书文件。 二、在conf目录下新建一个包含如下信息的openssl.conf文件 [ ca ] default_ca = foo [ foo ] dir = /tmp/ca database = /tmp/ca/index.txt new_certs_dir = /tmp/ca/newcerts certificate = /tmp/ca/private/ca.crt serial = /tmp/ca/serial private_key = /tmp/ca/private/ca.key RANDFILE = /tmp/ca/private/.rand default_days = 365 default_crl_days= 30 default_md = md5

我上一篇文章 （ 配置JAVA SSL/TLS 之websocket wss交互式认证 ）生成的证书都是java keytool 的证书，都是自签名的证书， 不是第三方签名的证书。下面我要虚拟一个CA出来， 用CA来签名。 1、创建CA的私钥 openssl genrsa -out ca.key 2048 2、创建CA自签名证书 openssl req -x509 -new -nodes -key ca.key -subj "/CN=localhost" -days 36500 -out ca.crt 3、生成服务端私钥 keytool -genkey -v -alias server_ks -keysize 2048 -keyalg RSA -dname "CN=localhost" -keypass 123456 -storepass 123456 -keystore ./server.keystore -storetype jks -validity 36500 4、生成证书请求文件 keytool -certreq -alias server_ks -keyalg RSA -file ./server.csr -keystore ./server.keystore -keypass 123456 -storepass 123456 5

目录 前言 1 概念 2 环境 3 创建根证书CA 4 颁发证书 4.1 在需要证书的服务器上，生成证书签署请求 4.2 在根证书服务器上，颁发证书 5 测试 5.1 读取test.pfx文件 5.2 读取test.cer文件 前言 最近，被分配了一个任务，完成数字证书管理系统的开发，一开始我是一脸懵逼的，因为以前我对于什么数字证书都没了解过，可谓了一片空白，也不知其是用来干嘛的。于是，我奋发图强，用了一个下午加晚上的时间来脑补这部分概念知识，原来数字证书其实就是网站的身份认证。 1 概念 数字证书是一个经证书授权中心 数字签名 的包含 公开密钥 拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。数字证书还有一个重要的特征就是只在特定的时间段内有效。数字证书是一种权威性的电子文档，可以由权威公正的 第三方机构 ，即CA（例如中国各地方的CA公司）中心签发的证书，也可以由企业级CA系统进行签发。 一般证书分有三类，根证书、服务器证书和客户端证书。 根证书 ，是生成服务器证书和客户端证书的基础，是信任的源头，也可以叫自签发证书，即CA证书。 服务器证书 ，由根证书签发，配置在服务器上的证书。 客户端证书 ，由根证书签发，配置在服务器上，并发送给客户，让客户安装在浏览器里的证书。 接下来，认识了证书的基本概念之后，我们来认识下这几个概念，公钥

引用文章 https://blog.csdn.net/liuchunming033/article/details/48470575， 原文有详细介绍，本文只列出操作步骤和相应补充 1、生成自签名CA根证书 $openssl genrsa -out ca.key 2048 $openssl req -new -key ca.key -out ca.csr $openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt 2、生成server证书，使用ca.crt进行签名，server.csr中的organization名称需要与ca.crt中的一致。 $openssl genrsa -des3 -out server.key 1024 $openssl req -new -key server.key -out server.csr #输入生成server.key时输入的密码 $openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 3、生成client证书，使用ca.crt进行签名，client.csr中的Organization名称需要与ca.crt中的一致，同时Organizational Unit Name(eg. mp

实验环境： 系统版本：centos7x3.10.0-514.el7.x86_64 Nginx版本：nginx1.14.0 关闭防火墙并禁止开机自启 systemctl stop firewalld.service systemctl disable firewalld 关闭selinux sed -i 's/SELINUX=enforcing/SELINUX=disabled/g' /etc/sysconfig/selinux 修改主机名 vi /etc/hostname nginx.wangfeiyu.com 域名绑定IP vi /etc/hosts 重启 reboot 安装nginx服务 升级nginx为https条件 1、查看nginx是否支持ssl /usr/local/nginx/sbin/nginx -V 注：查看 configure arguments 信息中是否包含 -with-http_ssl_module 字样，如果没有则需要重新编译。找到之前安装 Nginx 时的编译目录，配置ssl模块，因为这次是升级nginx，所以不需要执行 make install，执行命令如下： . /configure --with-http_ssl_module make 2、查看openssl配置文件 vi /etc/pki/tls/openssl.cnf 注

网路安全介绍 背景： 早起的互联网 -- 1980年代 ，我们需要共享数据，传输数据；所传输或者共享的数据均为明文； 随着互连网发展，安全称为了国家的一种战略资源； 我们做的，比如编程，运维 -- 手工业； 安全属于一种科学研究 -- 安全的算法都是需要，以数学难题为基础来进行研究； 每个国家都疯狂去研究自己的加密算法，以及去破译别人的加密算法；美国--禁止出口长于256位的加密算法； 为了保证数据安全，我们必须满足一下四点：1、数据必须被加密； 2、完整性校验（哈希、单向加密、指纹）； 3、源认证； 4、证书体系（openssl就是用来实现这个PKI证书体系架构的，它包含了前三点；） 1、数据加密 数据必须被加密 1、对称秘钥加密 同一个秘钥进行加密，用一个秘钥进行解密； 优点：效率高 缺点：秘钥维护非常困难；秘钥交换非常困难； 2、非对称秘钥加密 秘钥对（公钥，私钥） A -- B A私钥 A公钥 B可以同过使用A的公钥对数据进行加密，再传输给A； 有点：维护秘钥方便；数据比较安全； 缺点：效率低下（非常低下），和对称加密相比，差距为1000倍左右； 两种加密形式 1、流加密 01010100100101011100100101001010 Cisco 0101 01010101010101010101010101010101 异或 ----------------------