当前位置：首页 > article >正文

证书创建方法说明

article 2026/4/3 16:09:53

生成证书方法一合适临时测试不需要管理快速生成脚本一键完成创建 create_lan_cert.sh#!/bin/bash# 配置参数IP_ADDR192.168.1.100# 修改为你的局域网IPDAYS365CERT_NAMElan-server# 创建配置文件cat${CERT_NAME}.confEOF [req] default_bits 2048 prompt no default_md sha256 x509_extensions v3_req distinguished_name dn [dn] CCN STGuangdong LShenzhen OHomeLab CN${IP_ADDR}[v3_req] keyUsage keyEncipherment, dataEncipherment extendedKeyUsage serverAuth subjectAltName alt_names [alt_names] IP.1 ${IP_ADDR}DNS.1 localhost EOF# 生成自签名证书openssl req-x509-newkeyrsa:2048-nodes\-keyout${CERT_NAME}.key\-out${CERT_NAME}.crt\-days${DAYS}\-config${CERT_NAME}.conf# 清理配置文件可选# rm ${CERT_NAME}.confecho证书生成完成echo私钥:${CERT_NAME}.keyecho证书:${CERT_NAME}.crt生成证书方法二合适设备多需管理生成 CA 根证书可选用于信任链# 生成 CA 私钥# 指定将生成的私钥保存到名为 ca.key 的文件中。这个文件是你的“根密钥”后续所有由你签发的证书都将依赖它 -key ca.key因此必须严格保密openssl genrsa-outca.key2048# 生成 CA 证书有效期10年#指定将生成的证书保存到名为 ca.crt 的文件中。这个文件就是“根证书”你需要将它安装到操作系统或浏览器的“受信任的根证书颁发机构”列表中这样由它签发的所有下级证书如你的服务器证书才会被信任openssl req-x509-new-nodes-keyca.key-sha256-days3650-outca.crt生成服务器证书# 服务器的私钥文件# server.key 私钥主要在以下两个关键环节发挥作用# 解密数据# 当客户端如浏览器与服务器建立 HTTPS 连接时会使用服务器证书中的公钥来加密一个“会话密钥”。只有持有对应私钥即 server.key的服务器才能解密出这个会话密钥后续的通信都将使用这个会话密钥进行快速、安全的对称加密。# 数字签名# 在 TLS 握手过程中服务器会使用 server.key 对一部分握手数据进行签名以向客户端证明它确实是该证书的合法持有者从而防止中间人攻击openssl genrsa-outserver.key2048# 创建证书配置文件 (server.conf)catserver.confEOF [req] default_bits 2048 prompt no default_md sha256 distinguished_name dn req_extensions v3_req [dn] CCN STGuangdong LShenzhen OMyCompany OUIT CN192.168.1.100 [v3_req] keyUsage keyEncipherment, dataEncipherment extendedKeyUsage serverAuth subjectAltName alt_names [alt_names] IP.1 192.168.1.100 IP.2 10.0.0.100 DNS.1 my-server.local DNS.2 localhost EOF# 生成证书签名请求 (CSR)# 生成一个包含服务器公钥和身份信息的请求文件server.csr。这个 .csr 文件随后会被提交给证书颁发机构CA由 CA 对其进行签名最终生成可信赖的服务器证书.crtopenssl req-new-keyserver.key-outserver.csr-configserver.conf# 使用 CA 签名生成证书如果有CAopenssl x509-req-inserver.csr-CAca.crt-CAkeyca.key-CAcreateserial\-outserver.crt-days365-sha256-extensionsv3_req-extfileserver.conf# 或生成自签名证书无需CAopenssl req-x509-new-nodes-keyserver.key-sha256-days365\-outserver.crt-configserver.conf-extensionsv3_req生成客户端证书#生成客户端私钥openssl genrsa-outclient.key2048# 创建客户端证书配置 client.confcatclient.confEOF [req] default_bits 2048 prompt no default_md sha256 distinguished_name dn req_extensions v3_req [dn] CCN STGuangdong LShenzhen OMyCompany OUIT CNclient-user-01 emailAddressuser01mycompany.com [v3_req] keyUsage digitalSignature, keyEncipherment extendedKeyUsage clientAuth subjectAltName alt_names # 客户端证书可选通常不需要 [alt_names] email.1 user01mycompany.com EOF# 生成客户端CSRopenssl req-new-keyclient.key-outclient.csr-configclient.conf# 用CA签名生成客户端证书openssl x509-req-inclient.csr\-CAca.crt-CAkeyca.key-CAcreateserial\-outclient.crt\-days365\-sha256\-extensionsv3_req-extfileclient.conf# 生成客户端PKCS#12格式证书用于浏览器导入openssl pkcs12-export\-inclient.crt\-inkeyclient.key\-outclient.p12\-nameMyCompany Client Cert\-passwordpass:changeit# 可选生成无密码的P12不推荐# openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -nodes -password pass:客户端证书和服务器端证书的区别关键字段详解1. Common Name (CN) 的区别## 服务器证书CN 必须是访问地址CN192.168.1.100# IP地址CNmyserver.local# 域名CN*.company.com# 通配符域名# 客户端证书CN 是用户/设备标识CNalice.smith# 用户名CNlaptop-abc123# 设备名CNapi-client-prod# 服务账号2. KeyUsage 的区别# 服务器证书用途keyUsagekeyEncipherment, dataEncipherment# 解释# - keyEncipherment: 用于加密会话密钥RSA密钥交换# - dataEncipherment: 直接加密数据较少使用# 客户端证书用途keyUsagedigitalSignature# 解释# - digitalSignature: 用于数字签名客户端身份验证3. ExtendedKeyUsage 的区别# 服务器证书extendedKeyUsageserverAuth# OID: 1.3.6.1.5.5.7.3.1# 含义该证书可用于TLS服务器身份验证# 客户端证书extendedKeyUsageclientAuth# OID: 1.3.6.1.5.5.7.3.2# 含义该证书可用于TLS客户端身份验证# 也可以同时支持多种用途不推荐extendedKeyUsageserverAuth, clientAuth# 既是服务器又是客户端4. Subject Alternative Name (SAN) 的区别# 服务器证书必须包含浏览器强制要求[alt_names]IP.1192.168.1.100# IP地址DNS.1myserver.local# 域名DNS.2localhost# 本地# 客户端证书可选通常不需要[alt_names]email.1usercompany.com# 邮箱DNS.1user-device# 设备标识客户端信任设置Windows cmd# 安装证书到信任根certutil-addstoreRootserver.crt macOSbashsudosecurity add-trusted-cert-d-rtrustRoot-k/Library/Keychains/System.keychain server.crt Linux(Ubuntu/Debian)bashsudocpserver.crt /usr/local/share/ca-certificates/sudoupdate-ca-certificates证书验证# 查看证书信息openssl x509-inserver.crt-text-noout# 验证证书和私钥是否匹配openssl x509-noout-modulus-inserver.crt|openssl md5 openssl rsa-noout-modulus-inserver.key|openssl md5# 测试SSL连接openssl s_client-connect192.168.1.100:443-CAfileca.crt

证书创建方法说明

相关文章：

证书创建方法说明

阻焊层有多重要？PCB封装的防护屏障

丝印层—PCB封装的信息标识系统

hadoop3.3.6上搭建Hbase2.5.13集群

终极指南：3分钟快速掌握Logisim-evolution数字电路设计与仿真

从PyTorch/Onnx、AIMET量化到 QNN GPU 部署全流程实战：GPU 推理 300FPS+

windows系统安装gitblit经验分享

提升效率：用快马ai生成ubuntu一键自动化安装openclaw的脚本

告别繁琐配置：用快马ai一键生成windows版openclaw自动化安装脚本原型

高效文档下载解决方案：让知识获取不再受阻

Source Han Serif CN全解析：免费商用字体的7大维度深度指南

利用快马平台快速构建类FinalShell服务器监控Web原型

AI辅助数据库设计：让快马平台的Kimi模型成为你的课程设计智能顾问

基于多模态图像融合与深度学习算法的轴承故障诊断模型——GADF+Swin-CNN-GAM与GA...

德希科技在线 COD 传感器

3步解锁图表数据：用计算机视觉将图像转化为结构化数据的实战秘籍

AGV如何选合适的传感器

公考教父级教学，不同阶段学员都能适配

AI机器视觉+振镜控制：基于OpenCV的无序工件全自动定位打标

场景深耕，生态共生——视程空间，让边缘算力真正落地千行百业

OpenCV 实现人脸识别：LBPH/Eigen/Fisher 三大算法实战详解

3步永久解锁加密PDF：ScienceDecrypting终极使用指南

SEO工具如何提供网站的整体优化建议

告别GitHub访问难题：Fast-GitHub让开发效率提升300%

3大突破！微信聊天记录数据导出与备份终极指南：从困境到掌控

六通道HDMI/网络/文件混用一体录播机

016、CI/CD流水线：用GitHub Actions把部署从玄学变成肌肉记忆

卡诺图简化逻辑函数详解

Ai2Psd终极指南：如何将Illustrator矢量图层完美导出到Photoshop

AI CRM 2.0时代：SaaS厂商的生死局