Linux 自签名ssl证书生成

文章目录

一、生成CA私钥

二、创建ssl证书私钥

三、使用CA签署ssl证书

四、查看签署的证书信息

五、 把服务端代码转换浏览器可以识别的PCS12格式,密码使用上面输入的密码

六、使用jetty中的PKCS12Import工具类完成转换,密码同上

七、使用下面命令查看jks文件中包含的证书信息


一、生成CA私钥

mkdir ca
cd ca
#创建私钥 (建议设置密码)
openssl genrsa -des3 -out myCA.key 2048
  • 生成CA证书
# 20 年有效期
openssl req -x509 -new -nodes -key myCA.key -sha256 -days 7300 -out myCA.crt

把此证书导入需要部署的PC中即可,以后用此CA签署的证书都可以使用

  • 查看证书信息命令
openssl x509 -in myCA.crt -noout -text

二、创建ssl证书私钥

cd ..
# 此文件夹存放待签名的证书
mkdir certs
cd certs
openssl genrsa -out localhost.key 2048
  • 创建ssl证书CSR
openssl req -new -key localhost.key -out localhost.csr
  • 创建域名附加配置文件cert.ext
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = localhost
IP.2 = 127.0.0.1
DNS.3 = test.com
DNS.4 = *.test.com

三、使用CA签署ssl证书

# ssl证书有效期10年,此步骤需要输入CA私钥的密码
openssl x509 -req -in localhost.csr -out localhost.crt -days 3650 \
  -CAcreateserial -CA ../ca/myCA.crt -CAkey ../ca/myCA.key \
  -CAserial serial -extfile cert.ext

四、查看签署的证书信息

openssl x509 -in localhost.crt -noout -text
  • 使用CA验证一下证书是否通过
[root@web certs]# openssl verify -CAfile ../ca/myCA.crt localhost.crt
localhost.crt: OK

五、 把服务端代码转换浏览器可以识别的PCS12格式,密码使用上面输入的密码

openssl pkcs12 -export -in localhost.crt -inkey localhost.key -out server.p12

六、使用jetty中的PKCS12Import工具类完成转换,密码同上

wget https://biteeniu.github.io/files/jetty-6.1.26.jar
java -cp jetty-6.1.26.jar org.mortbay.jetty.security.PKCS12Import server.p12 server.jks

七、使用下面命令查看jks文件中包含的证书信息

keytool -v -list -keystore server.jks

八、主流数字证书都有哪些格式

一般来说,主流的Web服务软件,通常都基于OpenSSL和Java两种基础密码库。

  • Tomcat、Weblogic、JBoss等Web服务软件,一般使用Java提供的密码库。通过Keytool工具,生成Java Keystore(JKS)格式的证书文件。
  • Apache、Nginx等Web服务软件,一般使用OpenSSL工具提供的密码库,生成PEM、KEY、CRT等格式的证书文件。
  • IBM的Web服务产品,如Websphere、IBM Http Server(IHS)等,一般使用IBM产品自带的iKeyman工具,生成KDB格式的证书文件。
  • 微软Windows Server中的Internet Information Services(IIS)服务,使用Windows自带的证书库生成PFX格式的证书文件。

参考:文章

你可能感兴趣的:(#,Linux,笔记,ssl)