【使用OpenSSL生成CA证书及签发子证书】

使用OpenSSL生成CA证书及签发子证书

目录

  • 使用OpenSSL生成CA证书及签发子证书
  • 一、基础知识
  • 二、安装OpenSSL
    • 1.下载地址
  • 三、生成一份 CA 根证书
    • 1.创建私钥
    • 2.生成证书请求文件(CSR)
    • 3.自签署证书
  • 四、生成一份 CA 证书的子证书(跟)
  • 总结

一、基础知识

  • OpenSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用密钥、证书封装管理功能及实现ssl协议。OpenSSL整个软件包大概可以分成三个主要的功能部分:SSL协议库libssl、应用程序命令工具以及密码算法库libcrypto。

  • .KEY 通常指私钥。

  • .CSR 是 Certificate Signing Request 的缩写,即证书签名请求,这不是证书,只是包含申请证书的基本信息。生成证书时要把这个提交给权威的证书颁发机构,颁发机构审核通过之后,再根据这些申请信息生成相应的证书。

  • .CRT 即 certificate的缩写,即证书。

  • X.509 是一种证书格式。对X.509证书来说,认证者总是CA或由CA指定的人,一份X.509证书是一些标准字段的集合,这些字段包含有关用户或设备及其相应公钥的信息。

  • X.509的证书文件,一般以.crt结尾,根据该文件的内容编码格式,可以分为以下二种格式:

  • .PEM - Privacy Enhanced Mail,打开看文本格式,以"-----BEGIN…“开头,”-----END…"结尾,内容是 BASE64 编码。Apache 和 *NIX 服务器偏向于使用这种编码格式。

  • .DER - Distinguished Encoding Rules,打开看是二进制格式,不可读。Java 和 Windows 服务器偏向于使用这种编码格式。

二、安装OpenSSL

1.下载地址

http://slproweb.com/download/Win64OpenSSL_Light-3_0_2.exe

三、生成一份 CA 根证书

1.创建私钥

openssl genrsa -out rootCA.key 1024

参数说明:

genrsa 使用 rsa 算法生成密钥。
-des3 (可选)加密密钥,此时需要设置密码,后续使用该密钥时需要验证密码才能使用。
-out 生成私钥文件。

2.生成证书请求文件(CSR)

openssl req -new -out rootCA.csr -key rootCA.key

参数说明:

x509 签发X.509格式证书命令。
-req 证书输入请求。
-days 证书有效天数。
-in 输入文件,这里是上一步生成的请求文件(.CSR)
-signkey 签名密钥(key)文件,由第一步生成。
-out 输出文件,生成证书文件(.CRT)。

3.自签署证书

正常的证书是你把上面生成的请求文件(.CSR)发送给可信机构(CA),让可信机构根据你的请求去生成和签署证书,再给你发回来。这里是自己给自己签署。

openssl x509 -req -sha1 -in rootCA.csr -out rootCA.crt -signkey rootCA.key -days 3650

参数说明:

req 产生证书签发申请命令。
-new 新的申请。
-key 输入的 key 文件,由第一步生成。
-out 输出为 CSR 文件,这是一个请求文件。
运行此命令后进入交互模式,需要输入一些证书信息。

一般需要输入的信息如下:

C 国家
ST 省份
L 市
O 机构
OU 部门
CN (Common Name) 一般是域名
emailAddress 邮箱

四、生成一份 CA 证书的子证书(跟)

总结

提示:这里对文章进行总结:

例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。

你可能感兴趣的:(网络)