当前位置：首页 > news >正文

OpenSSL自签名证书

news 2026/2/9 5:10:42

文章目录

生成
- 1. 生成根证书的私钥（root_private_key.pem）
- 2. 创建根证书的CSR和自签名证书（root_csr.pem）
- 3. 生成服务器证书的私钥（server_private_key.pem）
- 4. 创建服务器证书的CSR（server_private_key.pem）
- 5. 使用根证书签发服务器证书（server_csr.pem）
- 6. 验证证书

生成

1. 生成根证书的私钥（root_private_key.pem）

首先，您需要为根证书生成一个私钥。这通常是一个RSA或EC私钥。

注意 centos8 秘钥长度低于2048位会报错

openssl genpkey -algorithm RSA -out root_private_key.pem -pkeyopt rsa_keygen_bits:4096

2. 创建根证书的CSR和自签名证书（root_csr.pem）

接下来，使用根证书的私钥生成一个证书签名请求（CSR），并自签名该CSR以生成根证书。
其中CN=My Root CA 可以修改为你需要的根域名

# 创建根证书的CSR  
openssl req -new -key root_private_key.pem -out root_csr.pem -subj "/C=US/ST=California/L=San Francisco/O=My Root CA/CN=My Root CA"

在下面的命令中，-extensions v3_ca 指示 OpenSSL 使用名为 v3_ca 的扩展配置。
需要创建一个包含这些扩展的配置文件，并在其中定义 v3_ca 段落
可以写在服务器证书配置的openssl.cnf文件中, 下面为了好区分所以分开写：

vim v3_ca
#添加下面文本
[v3_ca]  
basicConstraints = CA:TRUE  
keyUsage = keyCertSign, cRLSign
#保存后运行下面命令生成根证书
# 自签名根证书的CSR以生成根证书  
openssl x509 -req -days 3650 -in root_csr.pem -signkey root_private_key.pem -out root_certificate.pem -extensions v3_ca

3. 生成服务器证书的私钥（server_private_key.pem）

现在，需要为服务器证书生成一个单独的私钥。

openssl genpkey -algorithm RSA -out server_private_key.pem -pkeyopt rsa_keygen_bits:2048

4. 创建服务器证书的CSR（server_private_key.pem）

使用服务器证书的私钥生成一个CSR。
将CN=100.70.84.6修改为你自己的域名或IP
如果这里填写的IP/域名和你服务器访问的IP/域名不匹配,证书始终无效

openssl req -new -key server_private_key.pem -out server_csr.pem -subj "/C=US/ST=California/L=San Francisco/O=My Company/CN=100.70.84.6"

5. 使用根证书签发服务器证书（server_csr.pem）

最后，使用根证书和根证书的私钥签发服务器证书的CSR，以生成最终的服务器证书。
在下面的命令中，-extensions v3_req -extfile openssl.cnf 指示 OpenSSL 使用配置文件
（如 openssl.cnf）中定义的 v3_req 段落来添加v3扩展。您需要在配置文件中定义这些扩展，例如：

vim openssl.cnf
#添加以下内容
[v3_req]  
keyUsage = digitalSignature, keyEncipherment  
extendedKeyUsage = serverAuth  
subjectAltName = @alt_names  
#服务器使用的域名和服务器IP（可选）如果不需要就删除上面subjectAltName这一行
[alt_names]  
DNS.1 = feng.com  
DNS.2 = www.feng.com
DNS.2 = *.feng.com
DNS.2 = 100.70.84.6
IP.1 = 100.70.84.6
#保存后生成服务器证书
openssl x509 -req -in server_csr.pem -CA root_certificate.pem -CAkey root_private_key.pem -CAcreateserial -out server_certificate.pem -days 3650 -extensions v3_req -extfile openssl.cnf

6. 验证证书

最后，您可以验证生成的根证书和服务器证书。

# 验证根证书  
openssl x509 -in root_certificate.pem -text -noout  # 验证服务器证书  
openssl x509 -in server_certificate.pem -text -noout

请注意，这只是一个基本的示例，用于生成根证书和基于该根证书的服务器证书。
在实际应用中，可能需要根据您的具体需求和环境进行更多的配置和调整。
特别是，您需要确保您的私钥得到妥善保管，不要将其泄露给未经授权的人员。

vim /nginx/conf/nginx.conf
#在http标签中添加https模块server {listen       443 ssl;server_name  100.70.84.6 feng.com www.feng.com;ssl_certificate      /nginx/ssl/server_certificate.pem;ssl_certificate_key  /nginx/ssl/server_private_key.pem;ssl_session_cache    shared:SSL:1m;ssl_session_timeout  5m;ssl_protocols TLSv1.2 TLSv1.3;ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;ssl_prefer_server_ciphers on;location / {#proxy_pass http://100.70.84.6:20157;root   html;index  index.html index.htm;}
}

https://blog.csdn.net/weixin_45500120/article/details/138272014

OpenSSL自签名证书

文章目录

生成

1. 生成根证书的私钥（root_private_key.pem）

2. 创建根证书的CSR和自签名证书（root_csr.pem）

3. 生成服务器证书的私钥（server_private_key.pem）

4. 创建服务器证书的CSR（server_private_key.pem）

5. 使用根证书签发服务器证书（server_csr.pem）

6. 验证证书

相关文章：

OpenSSL自签名证书

QtCreator调试运行工程报错，无法找到相关库的的解决方案

【Python系列】Python 元组（Tuple）详解

特征融合篇 | YOLOv8 引入动态上采样模块 | 超过了其他上采样器

Beyond Compare 3密钥被撤销的解决办法

知识见闻 - 人和动物的主要区别

Javaweb基础之工程路径

国际荐酒师（香港）协会受邀出席广州意大利国庆晚宴

让驰骋BPM系统插上AI的翅膀

排队论 | 基于排队机制实现智能仓储机器人巡逻及避碰

Node.js和npm常用命令

pytest +allure在测试中的应用

004 CentOS 7.9 mongodb7.0.11安装及配置

Docker安装Redis（云服务器）

springboot中抽象类无法注入到ioc容器

Java关键字大冒险：深入浅出地理解Java的精髓

Android Kotlin 打开相册选择图片(多选)

java学习路径

[线程与网络] 网络编程与通信原理(四):深入理解传输层UDP与TCP协议

IEEE编程语言排行榜：深度解析编程语言的四大维度、五大趋势、六大热门与七大挑战

后进先出（LIFO）详解

k8s从入门到放弃之Ingress七层负载

ESP32读取DHT11温湿度数据

【机器视觉】单目测距——运动结构恢复

Python实现prophet 理论及参数优化

HBuilderX安装（uni-app和小程序开发）

unix/linux，sudo，其发展历程详细时间线、由来、历史背景

C++ 求圆面积的程序（Program to find area of a circle）

Web 架构之 CDN 加速原理与落地实践

Java + Spring Boot + Mybatis 实现批量插入