使用OpenSSL生成自签证书

什么是OpenSSL

OpenSSL是一个开源的软件库和工具套件,用于安全地处理网络数据传输中的加密、解密、安全套接层(SSL)以及传输层安全(TLS)协议等功能。它广泛应用于网站和互联网服务中,以确保数据传输的安全性和隐私性。OpenSSL可以运行在多种操作系统上,并为程序员提供了用C、C++、Python等语言编写的应用程序接口(API)。官网:https://www.openssl.org/

安装OpenSSL

参考:https://www.feistyduck.com/library/openssl-cookbook/online/openssl-command-line/building-openssl.html

使用OpenSSL生成自签证书

创建ca根证书及其私钥

ca证书及其私钥是后续创建其他证书的前提,相当于其他证书是经过ca证书认证后颁发的。

分2步:

创建ca私钥

openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:2048 -out ca_private_key.pem

用私钥创建ca根证书

openssl req -x509 -days 3650 -new -key ca_private_key.pem -subj "/CN=kubernetes" -out ca_root_certificate.pem

根据CA根证书及其私钥生成自签名证书

生成服务器(或客户端)私钥

openssl genpkey -algorithm RSA -out server_private_key.pem -pkeyopt rsa_keygen_bits:2048

创建服务器证书签名请求(CSR)

openssl req -new -key server_private_key.pem -subj "/CN=www.zptest.com/C=CN/L=ShenZhen/ST=GuangDong" -out server_csr.pem

注意:-subj的格式:/type0=value0/type1=value1/type2=…

例如:-subj "/CN=www.zptest.com/C=CN/L=ShenZhen/ST=GuangDong"

或者如下用配置文件代替命令行-subj "/CN=www.zptest.com"的方式:

  • step1:先创建csr配置文件:csr.conf;
  • step2:再使用-config选项创建csr

如下:

# step1
cat > csr.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn[ dn ]
C = CN
ST = GuangDong
L = ShenZhen
CN = www.zptest.com[ req_ext ]
subjectAltName = @alt_names[ alt_names ]
IP.1 = 127.0.0.1
EOF# step2
openssl req -new -key server_private_key.pem -out server_csr.pem -config csr.conf

使用ca根证书签发服务器(或客户端)证书

openssl x509 -req -days 365 -in server_csr.pem -CA ca_root_certificate.pem -CAkey ca_private_key.pem -set_serial 01 -out server_certificate.pem

-set_serial 01:选项是为证书分配的唯一表示标识号,类似于身份证。值类型可以为十进制或者十六进制(通过前缀加0x)。每个X.509证书的序列号必须唯一,以便在需要时轻松确定、追踪和管理特定证书。例如,在撤销证书时,可以使用序列号查询或标记证书已撤销

可以通过如下方式查询到证书的序列号:

openssl x509 -in server_certificate.pem -noout -text | grep -i "Serial Number"

验证服务器(或客户端)证书

openssl verify -CAfile ca_root_certificate.pem server_certificate.pem

输出server_certificate.pem: OK则表明证书验证成功。

补充:

查看证书的详细信息:

[root@k8s-master openssl_test]# openssl x509 -noout -text -in  server_certificate.pem
Certificate:Data:Version: 1 (0x0)Serial Number: 1 (0x1)Signature Algorithm: sha256WithRSAEncryptionIssuer: CN=kubernetesValidityNot Before: Oct 11 07:03:51 2023 GMTNot After : Oct 10 07:03:51 2024 GMTSubject: C=CN, ST=GuangDong, L=ShenZhen, CN=www.zptest.comSubject Public Key Info:Public Key Algorithm: rsaEncryptionPublic-Key: (2048 bit)Modulus:00:a1:36
……

总结

  1. 创建自签名证书需要先创建一个“自认权威”的ca,充当第三方CA的角色。这就涉及到创建ca私钥和创建ca根证书

  2. 通过证书签名请求中的-subj来指定证书绑定哪个(哪些)域名

  3. 使用证书时,域名要和证书中的域名对应上

  4. 使用curl访问域名时,要手动指定ca证书来进行校验,通过--cacert选项来指定

    比如:

    [root@k8s-master cfssl_test]# curl -L www.zptest.com/index.html --cacert ca.pem
hello nginx

知识补充

openssl中genpkey和genrsa命令有啥区别?

genrsagenpkey命令都可以在OpenSSL中生成RSA私钥,但二者之间存在一些区别:

  1. 可生成的密钥类型:
  • genrsa命令仅用于生成RSA私钥。
  • genpkey更通用,可以生成不仅仅是RSA类型的私钥,还可以生成其他如DSA、EC(Elliptic Curve)等多种类型的私钥。
  1. 算法参数和选项:
  • genrsa只支持一部分RSA相关的选项。
  • genpkey支持各种密钥类型的全部参数和选项,并拥有更多的灵活性。

OpenSSL版本:

  • genrsa命令在早期的OpenSSL版本已经存在,所以对于使用较旧版本的OpenSSL的用户来说,genrsa可能是更常用的命令。
  • genpkey命令在OpenSSL中引入较晚,但由于其通用性和灵活性,现在被官方推荐使用,尤其在生成非RSA密钥时。

总结:尽管genrsagenpkey都可以生成RSA私钥,但genpkey命令更为通用且灵活,适用于生成各种密钥类型。因此,建议在现代应用中使用genpkey命令生成私钥

附录

OpenSSL官网

OpenSSL cookbook

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/107465.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PMP可以评职称了?持证人可享多项福利政策

PMP可以评职称了?持证人可享多项福利政策

PMP英文全称&#xff1a;“Project Management Professional” 中文翻译为“项目管理专业人士资格认证”&#xff0c;目标人群就是项目管理人士&#xff0c;旨在提供系统的项目管理专业且基础的理论知识&#xff0c;并且考察项目管理人士的职业能力。PMP集合全球项目专家成功做…
阅读更多...
QT 数据库表格----QSqlTableModel

QT 数据库表格----QSqlTableModel

将数据库数据以表格的形式转化处理的方法很多&#xff0c;但我觉得QSqlTableModel这个model应算是非常好用的&#xff1b; msql.exec("create table alldata(照片,车牌号 "",入车时间,出车时间,金额,状态,看守人员);"); //创建表格 //msql 打开的数据库即Q…
阅读更多...
8中间件-Redis、MQ---基本

8中间件-Redis、MQ---基本

中间件&#xff08;Middleware&#xff09;是指位于客户端和服务器端之间的软件&#xff0c;用于处理请求和响应&#xff0c;以及提供额外的功能和服务。中间件可以用于各种不同的应用程序&#xff0c;例如Web应用程序、消息传递系统、数据库管理系统等。 在Web应用程序中&…
阅读更多...
Unity 3D基础——通过四元数控制对象旋转

Unity 3D基础——通过四元数控制对象旋转

在这个例子中&#xff0c;通过键盘的左右方向来控制场景中的球体 Sphere 的横向运动&#xff0c;而 Cube 立方体则会一直朝着球体旋转。 1.在场景中新建一个 Cube 立方体和一个 Sphere 球体&#xff0c;在 Inspector 视图中设置 Cube 立方体的坐标为&#xff08;3&#xff0c;0…
阅读更多...
Mac电脑空间不足怎么办?如何优化系统

Mac电脑空间不足怎么办?如何优化系统

随着使用时间的增长&#xff0c;我们会发现Mac电脑的存储空间越来越少&#xff0c;这时候我们就需要对Mac电脑进行清理&#xff0c;以释放更多的存储空间。那么&#xff0c;Mac空间不足怎么解决呢&#xff1f; 1.清理垃圾文件 Mac空间不足怎么解决&#xff1f;首先要做的就是…
阅读更多...
Ubuntu查看自身版本,系统架构

Ubuntu查看自身版本,系统架构

打开终端。 在终端中输入以下命令并按Enter键&#xff1a; lsb_release -awubwub:/$ lsb_release -a No LSB modules are available. Distributor ID: Ubuntu Description: Ubuntu 22.04.3 LTS Release: 22.04 Codename: jammy确定linux版本 cat /etc/lsb-release DISTRIB_IDU…
阅读更多...
Qt应用开发(基础篇)——表格视图 QTableView

Qt应用开发(基础篇)——表格视图 QTableView

一、前言 QTableView类继承于QAbstractItemView类&#xff0c;提供了一个表格视图的模型。 视图基类 QAbstractItemView QTableView默认为Model/View实现。 //绑定view和model QStandardItemModel *model new QStandardItemModel(); ui->tableView->setModel(model);//…
阅读更多...
福建建筑模板厂家-能强优品木业

福建建筑模板厂家-能强优品木业

福建建筑模板厂家-能强优品木业&#xff0c;是一家专业从事建筑模板生产销售25年的源头工厂。我们以优质的产品和卓越的服务赢得了福建当地建筑施工企业的信赖与合作。作为一家有着丰富经验的建筑模板厂家&#xff0c;我们致力于提供高品质的产品&#xff0c;以满足客户的需求。…
阅读更多...
【算法|前缀和系列No.1】牛客网 DP34 【模板】前缀和

【算法|前缀和系列No.1】牛客网 DP34 【模板】前缀和

个人主页&#xff1a;兜里有颗棉花糖 欢迎 点赞&#x1f44d; 收藏✨ 留言✉ 加关注&#x1f493;本文由 兜里有颗棉花糖 原创 收录于专栏【手撕算法系列专栏】【牛客网刷题】 &#x1f354;本专栏旨在提高自己算法能力的同时&#xff0c;记录一下自己的学习过程&#xff0c;希…
阅读更多...
TCP/IP(九)TCP的连接管理(六)TIME_WAIT状态探究

TCP/IP(九)TCP的连接管理(六)TIME_WAIT状态探究

一 TIME_WAIT探究 要明确TIME_WAIT状态在tcp四次挥手的阶段 ① 为什么 TIME_WAIT 等待的时间是 2MSL? 背景&#xff1a; 客户端在收到服务端第三次FIN挥手后,就会进入TIME_WAIT 状态,开启时长为2MSL的定时器1、MSL 是 Maximum Segment Lifetime 报文最大生存时间2、2MSL…
阅读更多...
3500/15 106M1079-01 支持先进和复杂的人工智能计算

3500/15 106M1079-01 支持先进和复杂的人工智能计算

3500/15 106M1079-01 支持先进和复杂的人工智能计算 耐能NPU IP系列允许ResNet、YOLO和其他深度学习网络在离线环境下的边缘设备上运行。耐能NPU IP为edge AI提供完整的硬件解决方案&#xff0c;包括硬件IP、编译器、模型压缩。它支持各种类型的卷积神经网络(CNN)模型&#xf…
阅读更多...
Docker consul

Docker consul

Consul &#xff08;1&#xff09;什么是服务注册与发现 服务注册与发现是微服务架构中不可或缺的重要组件。起初服务都是单节点的&#xff0c;不保障高可用性&#xff0c;也不考虑服务的压力承载&#xff0c;服务之间调用单纯的通过接口访问。直到后来出现了多个节点的分布式…
阅读更多...
架构真题2017(五十三)

架构真题2017(五十三)

在磁盘上存储数据的排列方式会影响 I/O服务的总时间。假设每磁道划分成10个物理块&#xff0c;每块存放1个逻辑记录。逻辑记录R1&#xff0c;R2&#xff0c; ...&#xff0c; RI0存放在同一个磁道上&#xff0c; 记录的安排顺序如下表所示 ; 假定磁盘的旋转速度为30ms/周&…
阅读更多...
Hive的文件合并

Hive的文件合并

背景:Flink数据写入到stage层,然后再入ods层,中间导致hive数据实时性不强,随后做优化,Flink之间以orc格式写入到hive 问题:单表日800亿数据量,产生过多的小文件,影响Impala查询 解决:对hive小文件进行合并, ALTER TABLE lt_ipsy_xdr_temp PARTITION (day20230829, hour9,type…
阅读更多...
typeScript中的 “ // @ts-ignore “ 注释的作用

typeScript中的 “ // @ts-ignore “ 注释的作用

// ts-ignore 一个特殊的注释&#xff0c;用于告诉TypeScript编译器&#xff0c;忽略某个特定的错误或警告 某些情况下会遇到一些TypeScript编译器无法识别或处理的代码&#xff0c;例如第三方库或旧的代码&#xff0c; 这时候&#xff0c;编译器可能会产生一些错误或警告&am…
阅读更多...
可以重试的请求方法

可以重试的请求方法

可以重试的请求方法 方式1 定义名为 request 的异步函数&#xff0c;它接受两个参数&#xff1a;url 表示请求的 URL&#xff0c;maxCount 表示最大重试次数&#xff0c;默认为 5。 在函数体内&#xff0c;使用 fetch 方法发起异步请求&#xff0c;并使用 catch 方法捕获请求…
阅读更多...
某游戏公司Java面试八股文总结

某游戏公司Java面试八股文总结

1.值传递和引用传递区别&#xff1f;Java中为什么都是值传递&#xff1f; 值传递&#xff08;Pass by Value&#xff09;&#xff1a; 在值传递中&#xff0c;函数或方法的参数是原始数据的拷贝&#xff0c;而不是原始数据本身。当你将一个值传递给函数时&#xff0c;函数内部…
阅读更多...
消失的人!消除视频中不需要的人物

消失的人!消除视频中不需要的人物

视频拍摄中拍摄了不相干或者是不需要出现的人物&#xff0c;想要从视频中去除&#xff0c;应该如何操作呢&#xff1f;有什么快捷方法可以轻松扣除视频中的人物&#xff1f; 我们在视频剪辑的时候都有这样的烦恼吧&#xff1f;就是在一段视频素材里有多余的人物出现&#xff0…
阅读更多...
uniapp 使用和引入 thorui

uniapp 使用和引入 thorui

1. npm install thorui-uni 2. "easycom": { "autoscan": true, "custom": { "tui-(.*)": "thorui-uni/lib/thorui/tui-$1/tui-$1.vue" } }, 3.
阅读更多...
身份证照片怎么弄成200k以内?三个方法轻松搞定!

身份证照片怎么弄成200k以内?三个方法轻松搞定!

在日常生活中&#xff0c;为了方便上传和保存、便于传输和处理以及符合相关规定等方面的考虑&#xff0c;身份证照片大小常常被要求控制在200k以内&#xff0c;可是手机随便一拍&#xff0c;任凭如何截图都在超过1M&#xff0c;这个时候就需要借助一些图片压缩工具&#xff0c;…
阅读更多...
最新文章

Copyright @ 2022~2023