基于ip地址通过openssl生成自签名证书

最近在配置geo的时候,客户说自己使用的是自签证书,然后是通过ip地址和端口的方式访问gitlab,比较好奇这块,因此对证书的生成和使用做了一些整理,对此网上关于这部分资料也很多,不过作为记录,也算是自己的部分实践。

文章目录

    • 说明
    • 方法一
      • step1: 首先生成私钥文件
      • step2: 根据私钥文件成自签名的证书文件
    • 方法二
      • step1: 通过openssl生成私钥
      • step2: 根据私钥生成证书申请文件csr
      • step3: 使用私钥对证书申请进行签名从而生成证书
    • 使用

说明

通过openssl genrsa 命令可以用来生成 RSA 私有秘钥,但是并不会生成公钥,因为公钥提取自私钥。生成时是可以指定私钥长度和密码保护。

方法一

step1: 首先生成私钥文件

openssl genrsa -out server.key 2048

参数说明

  • -out filename:将生成的私钥保存至filename文件,若未指定输出文件,则为标准输出。
  • -numbits:指定要生成的私钥的长度(单位 bit),默认为1024。该项必须为命令行的最后一项参数

step2: 根据私钥文件成自签名的证书文件

openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN/ST=BeiJing/L=BeiJing/O=BJ/OU=BJ/CN=192.168.31.40/[email protected]"

参数说明

  • -new:说明生成证书请求文件。
  • -x509:说明生成自签名证书。
  • -days:指定自签名证书的有效期限,默认为30天。
  • -key:指定使用已有的秘钥文件生成秘钥请求,只与生成证书请求选项-new配合。
  • -newkey:-newkey是与-key互斥的,-newkey是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由-keyout参数指定。当指定newkey选项时,后面指定rsa:bits说明产生rsa密钥,位数由bits指定。 如果没有指定选项-key和-newkey,默认自动生成秘钥。
  • -out :指定生成的证书请求或者自签名证书名称。
  • -subj:指定用户的信息。
    基于ip地址通过openssl生成自签名证书_第1张图片

方法二

step1: 通过openssl生成私钥

openssl genrsa -out server.key 2048

在这里插入图片描述

step2: 根据私钥生成证书申请文件csr

openssl req -new -key server.key -out server.csr

根据命令行向导来进行信息输入:

step3: 使用私钥对证书申请进行签名从而生成证书

openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

在这里插入图片描述

使用

将生成的server.keyserver.crt拷贝到服务器的证书位置即可。如gitlab的配置:

...
...
external_url 'https://192.168.31.40:19090'
letsencrypt['enable'] = false
nginx['ssl_certificate'] = "/etc/gitlab/ssl/server.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/server.key"
...
...

你可能感兴趣的:(工具,https,openssl,自签证书,ssl)