HTTPS認證二: openssl生成證書及簽名

原創 egbert果 2020-02-24 17:43

CA根證書

  • 創建 CA 根證書(使用這個根證書籤發服務器和客戶端的證書)
mkdir private
# 生成私鑰 key 文件:
openssl genrsa -out private/ca.key 2048  
輸出
Generating RSA private key, 2048 bit long modulus  
.......+++
.........................+++
e is 65537 (0x10001)  
private 目錄下有 ca.key 文件生成。

# 生成證書請求 csr 文件
openssl req -new -key private/ca.key -out private/ca.csr

這裏需要填寫一些信息

# 生成憑證 crt 文件
openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt

 創建配置文件:

  • conf 目錄新建 openssl.conf 文件
[ ca ] 
default_ca      = foo                   # The default ca section 

[ foo ] 
dir            = ./         # top dir  
database       = ./index.txt          # index file.  
new_certs_dir  = ./newcerts           # new certs dir 

certificate    = ./private/ca.crt         # The CA cert  
serial         = ./serial             # serial no file  
private_key    = ./private/ca.key  # CA private key  
RANDFILE       = ./private/.rand      # random number file 

default_days   = 365                     # how long to certify for  
default_crl_days= 30                     # how long before next CRL  
default_md     = sha1                     # message digest method to use  
unique_subject = no                      # Set to 'no' to allow creation of  
                                         # several ctificates with same subject. 
policy         = policy_any              # default policy 

[ policy_any ] 
countryName = match  
stateOrProvinceName = match  
organizationName = match  
organizationalUnitName = match  
localityName            = optional  
commonName              = supplied  
emailAddress            = optional

服務器證書的生成

# 創建一個 key,服務器不需要密碼
openssl genrsa -out server/server.key 2048  

# 爲我們的 key 創建一個證書籤名請求 csr 文件
openssl req -new -key server/server.key -out server/server.csr

# 會有一些問題,保持和之前一樣就好,注意裏面的hostname, 填寫服務器的Ip地址,確保能通過這個地址訪問服務器

# 使用我們私有的 CA key 爲剛纔的 key 簽名
openssl ca -in server/server.csr -cert private/ca.crt -keyfile private/ca.key -out server/server.crt -config "./conf/openssl.conf"  

# 會有一些提示信息,直接確認

客戶端證書的生成

mkdir users 
# 爲用戶創建一個 key,需要密碼
openssl genrsa -des3 -out ./users/client.key 2048  
# 根據提示輸入密碼

# 爲 key 創建一個證書籤名請求 csr 文件,會有一些信息,和之前填寫一致
openssl req -new -key ./users/client.key -out ./users/client.csr  

# 使用我們私有的 CA key 爲剛纔的 key 簽名
openssl ca -in ./users/client.csr -cert ./private/ca.crt -keyfile ./private/ca.key -out ./users/client.crt -config "./conf/openssl.conf"

爲了可以通過瀏覽器驗證,轉化爲P12格式:

openssl pkcs12 -export -clcerts -in ./users/client.crt -inkey ./users/client.key -out ./users/client.p12  
# 輸入密碼後,users 目錄下有 client.p12 文件生成。

格式轉換:

爲了在程序中使用,我們將客戶端crt 和 key以及ca.crt轉化爲PEM格式的文件

openssl x509 -in ca.crt -out cacrt.pem -outform PEM
openssl x509 -in client.crt -out clientcrt.pem -outform PEM
openssl rsa -in client.key -out clientkey.pem

我們需要的證書文件有:

根證書

ca.crt

cacrt.pem

根證書籤發的服務端證書

server.crt

  

服務端私鑰

server.key

  

根證書籤發的客戶端證書

client.crt

clientcrt.pem

客戶端私鑰

client.key

clientkey.pem

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Netty——預置的ChannelHandler和編解碼器(一)

預置的ChannelHandler和編解碼器 Netty 爲許多通用協議提供了編解碼器和處理器,幾乎可以開箱即用,這減少了你在那些相 當繁瑣的事務上本來會花費的時間與精力。在本章中,我們將探討這些工具以及它們所帶來的好 處,其中包

吴声子夜歌 2020-07-07 01:09:47

Nginx部署Https 443轉發,配置方式和採坑記錄

今天星期天,在家閒着,就想弄弄nginx。我用的Nginx版本爲1.1.7。服務器爲WindowsServer2019DataCenter。 之前在某個項目中由於跨域請求,用nginx 代理解決過。所以對nginx印象不錯。實用的好工具。

ltylove2007 2020-07-05 22:55:40

http與https的區別我真的知道嗎

之前每次看到類似“http與https的區別?”的問題時,都會自己思考一下答案,好像只是淺顯地知道https比http安全,但究竟爲什麼更安全,卻又似乎說不出個所以然,或者說很多細節地方自己都是不清楚的。爲了搞清楚,也爲了系統地瞭

Xeechem 2020-07-03 09:06:35

使用Wireshark解密SSL/TLS數據包並調試

使用Wireshark解密SSL/TLS數據 我們使用wireshark抓取的HTTPS數據包,可以使用wireshark通過以下兩種方式直接解密查看 1. 用服務器證書私鑰解碼 第一種方法是:使用服務器證書的私鑰進行解碼。 在I

梦之痕bhl 2020-07-02 11:53:00

ALPN協議

協議介紹 ALPN (Application Layer Protocol Negotiation)是TLS的擴展,允許在安全連接的基礎上進行應用層協議的協商。ALPN支持任意應用層協議的協商,目前應用最多是HTTP2的協商。在2

梦之痕bhl 2020-07-02 11:53:00

2018年全國職業技能大賽服務器部分-樣題D卷(涉及LVM、RAID、IIS-FTP、DNS主從(Centos7-Windows)、apache-HTTPS、CA)

此篇爲2018年國賽第四篇,現將涉及到的技術以及實現分享給各位。若有不妥或者需要改善之處請聯繫博主。 聯繫方式爲(VX:Yvresse_ai) 環境說明: 雲平臺:RG-JCOS     操作系統:Centos7 樣題D卷服務網絡Topo

Yvresse 2020-07-01 16:14:46

HTTPS認證四:使用開源libcurl進行SSL雙向認證

官網:https://curl.haxx.se/libcurl/c/libcurl.html libcurl參數說明: CURLOPT_SSLCERTTYPE:證書的格式,支持PEM, DER格式 CURLOPT_SSLCERT:客戶端

egbert果 2020-06-30 23:10:58

HTTPS認證三:用docker搭建nginx https服務器

1、生成證書 https://blog.csdn.net/egbert123/article/details/103831808 根證書 ca.crt cacrt.pem 根證書籤發的服務端證書 server.crt

egbert果 2020-06-30 23:10:58

HTTP和TCP協議,三次握手四次揮手

一、HTTP是什麼 http(HyperText Transfer Protocol),超文本傳輸協議,是互聯網上最廣泛的一種網絡傳輸協議,所有www文件都必須遵守的一個標準,是以ASCII碼傳輸,建立在TCP/IP協議上的應用層

Jaydon_mc 2020-06-27 22:03:02

HTTPS配置指北

原文鏈接:https://www.changxuan.top/?p=672 下載 SSL 證書 如果是在各大雲廠商註冊的域名,一般都可以申請爲期一年免費的SSL證書。當然也有其它的一些平臺會提供免費證書。 配置 Ngi

壹言 2020-06-27 09:01:02

HTTPS詳細整理(乾貨)

加密算法 對稱加密 加密和解密都是使用的同一個密鑰。 非對稱加密 非對稱加密使用一對“私鑰-公鑰”,用私鑰加密的內容只有對應公鑰才能解開,反之亦然。非對稱加密有以下特性: 對於一個公鑰,有且只有一個對應的私鑰。 公鑰是公開的,並

wtan825 2020-06-27 05:16:50

如何在iOS上實現對HTTPS的支持

首先,需要明確你使用HTTP/HTTPS的用途,因爲OSX和iOS平臺提供了多種API,來支持不同的用途,官方文檔《Making HTTP and HTTPS Requests》有詳細的說明,而文檔《HTTPS Server Tr

茉莲晨曦 2020-06-24 16:19:59

自簽證書, 並且NGINX部署 用於測試

第一步,爲服務器端和客戶端準備公鑰、私鑰 // 生成服務器端私鑰 openssl genrsa -out server.key 1024 // 生成服務器端公鑰 openssl rsa -in server.key -pubout -o

之诚 2020-06-23 17:36:26

Python3--爬蟲基礎知識和軟件準備(一)

1、python版本 air@airfull:~$ python --version Python 3.6.5 :: Anaconda, Inc. 1、什麼是爬蟲 模擬客戶端(瀏覽器)發送網絡請求,獲取響應,按照規則提取數

LiuWenChaocsdn 2020-06-23 07:28:51

學習筆記--HTTP-字段總結(二)-與連接管理、重定向相關的字段

目錄   一、HTTP中與連接相關的報文字段: 1、與連接相關的概念 2、與連接相關的字段 1)keep-alive 屬性 2)close 屬性 二、重定向和跳轉相關的字段 1、與重定向相關的概念 2、狀態碼 3、相關字段 一、HTTP中

Allen_Xu17 2020-06-23 02:40:30