openssl生成https自签名证书

今天用openssl生成了下https的证书,总结下整个流程

1.设置openssl的环境变量,OPENSSL_CONF=openssl.cnf路径

2.将openssl配置文件中的 req_extensions = v3_req注释取消掉

3.去掉[req_distinguished_name]里0.xxx开头的部分

4.修改[ v3_req ]和[ v3_ca ]内容

[ v3_req ]
extendedKeyUsage=serverAuth(增强型密钥用法,服务端验证)
subjectAltName = @alt_names(使用者备用名称)

[ v3_ca ]

basicConstraints = CA:true(使用基本约束)

5.增加[ alt_names ],里面的内容可以增加多个DNS.X,IP.X,其中IP可以不填,但是DNS一定要和你的网站域名能匹配,比如你的网站是www.my.com,那么你可以设置为DNS.1=*.my.com

[ alt_names ]
DNS.1 = 127.0.0.1
IP.1 = 127.0.0.1

6.要生成一个根证书私钥

  • -aes256代表加密算法,还可以选择des3等
  • 1024代表加密强度
  • -passout pass:123456 这里直接输入密码
openssl genrsa -passout pass:123456 -aes256  -out ca_private.key 2048 

 

7.使用根证书私钥生成csr(证书签名请求)

openssl req -passin pass:123456 -new -key ca_private.key -out ca.csr -subj "/C=CN/ST=ST/L=CITY/O=o/OU=ou/CN=cn"

8.使用根证书私钥和csr生成根证书

  • -days后面是天数,尽可能填大一点
  • 天数后面是使用的算法,不要选择sha1,谷歌浏览器会认为不安全
  • -extensions表示扩展属性
  • -extfile表示扩展属性所在的文件
openssl x509 -req -passin pass:123456 -days 18250 -sha256 -signkey ca_private.key -extensions v3_ca -extfile openssl.cnf -in ca.csr -out ca.cer

9.生成服务端证书私钥

openssl genrsa -out server_private.key 2048

10.生成服务端证书签名请求

openssl req -new -key server_private.key -out server.csr -subj "/C=CN/ST=ST/L=CITY/O=o/OU=ou/CN=cn"

11.生成服务端证书

openssl x509 -req -passin pass:123456 -days 18250 -sha256 -extensions v3_req -extfile openssl.cnf -CA ca.cer -CAkey ca_private.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer

12.CER转PEM

openssl x509 -in server.cer

 

你可能感兴趣的:(网络编程)