225
2024-05-21 13:41一、openssl证书怎么用?
openssl证书的使用:
1.创建私钥
openssl genrsa -des3 -out privkey.pem 2048
这个会生成一个私钥文件,如果不期望加密,则去除-des3这个选项
2.创建请求签名证书
openssl req -new -key privkey.pem -out cert.csr
这个会生成一个请求签名证书文件,然后将文件发送给CA即可
3.创建自签名证书
如果没有ca,可以自己给自己签名
openssl req -new -x509 -key privkey.pem -out cacert.cer -days 1095
4.创建中文自签名证书
上面创建的证书里面只能是英文,不能是中文。如果要创建中文证书,则必须通过修改openssl.cnf模板文件。
首先将模板文件里面的一些缺省东西修改为中文,然后使用iconv存储为utf8格式
iconv -f gbk -t utf-8 openssl.cnf > openssl_utf8.cnf
然后使用openssl签名,指明-utf8的格式和-config的配置文件
openssl req -utf8 -new -x509 -key privkey.pem -config openssl_utf8.cnf -out cacert.cer -days 1095
对于中文的签名请求证书的方法也是一样的。
5.对请求签名证书进行签名
前面已经生成了一个签名请求文件,下面我们按照我们是CA对证书进行签名
openssl ca -batch -utf8 -in cert.csr -out cert.cer -config ca/openssl.cnf
签名证书的用途和功能可以由openssl.cnf文件中的
nsCertType = client, email, objsign,server
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
二、如何使用openssl查看证书?
谢邀。最近在写https代理的程序,使用openssl实现ssl连接,有涉及到ssl证书。https的作用有三:1加密传输 2认证 3数据完整性ssl证书的主要是用来做认证和加密。大多数证书基于 X.509 v3 证书标准。下面以一次ssl连接进行说明。比如客户端要认证服务器,服务器怎么证明自己是真实的服务器,而不是钓鱼网站呢?这需要服务器有个证书。证书包含以下信息: 使用者的公钥值。 使用者标识信息(如名称和电子邮件地址)。 证书的有效时间。 颁发者CA标识信息。 颁发者CA的数字签名。你可以在IE中Internet选项》内容》证书 中看看证书长什么样。有效的证书需要由权威机构CA签名,CA会用自己的私钥来生成数字签名。这个权威机构CA客户端是可以完全信任的,客户端浏览器会安装CA的根证书,由CA签名的证书是被CA所信任的,这就构成了信任链,所以客户端可以信任该服务器的证书。 客户端与服务器建立ssl连接时,服务器将自身的证书传输给客户端,客户端在验证证书的时候,先看CA的根证书是否在自己的信任根证书列表中。再用CA的根证书提供的公钥来验证服务器证书中的数字签名,如果公钥可以解开签名,证明该证书确实被CA所信任。再看证书是否过期,访问的网站域名与证书绑定的域名是否一致。这些都通过,说明证书可以信任。
接下来使用服务器证书里面的公钥进行服务器身份的验证。 客户端生成一个随机数给到服务器。 服务器对随机数进行签名,并回传给到客户端。 客户端用服务器证书的公钥对随机数的签名进行验证,若验证通过,则说明对应的服务器确实拥有对应服务器证书的私钥,因此判断服务器的身份正常。否则,则任务服务器身份被伪造。这些都没问题才说明服务器是可信的。
接下来客户端会生成会话密钥,使用服务器公钥加密。服务器用自己的私钥解密后,用会话密钥加密数据进行传输。ssl连接就建立了。三、openssl验证证书链是否有效?
如果你想创建不是1年有效期的自签名证书,或想提供有关自己的额外信息,你可以用一个工具Open SSL来创建证书,而不是SDK随带的标准工具:MakeKeys。
四、如何使用openssl制作ca证书?
最近做CA登陆,用到OpenSSL 来制作证书,说真的,用OpenSSL的命令行制作证书的确不方便。
首先要安装OpenSSL,然后在控制台中输入冗长的命令,一不小心还很容易出错,就算是熟悉了命令行, 多做了几次还是会弄混淆命令的参数,基于以上原因五、openssl访问https,怎么获取证书?
HTTPS证书,需要淘宝Gworg获取,并且按照对应环境配置安装。
SSL安装教程: https://www.gworg.com/ssl/127.html 注意:安装防火墙需要设置允许443端口或关闭防火墙,如果本地服务器安装安全狗的,请允许443端口,环境尽量使用最新版。六、OpenSSL创建自签证书报错?
这个证书中的签名与这个私钥是对应关系,证书中的公钥和私钥也是匹配的,可以通过证书中的公钥对证书进行验签
七、如何使用OpenSSL工具生成根证书与应用证书?
使用OpenSSL工具生成根证书与应用证书方法:
1、生成顶级CA的公钥证书和私钥文件,有效期10年(RSA 1024bits,默认) openssl req -new -x509 -days 3650 -keyout CARoot1024.key -out CARoot1024.crt
2、 为顶级CA的私钥文件去除保护口令 openssl rsa -in CARoot1024.key -out CARoot1024.key
3、 生成顶级CA的公钥证书和私钥文件,有效期15年(RSA 2048bits,指定) openssl req -newkey rsa:2048 -x509 -days 5480 -keyout CARoot2048.key -out CARoot2048.crt
4、 为顶级CA的私钥文件去除保护口令 openssl rsa -in CARoot2048.key -out CARoot2048.key
5、 为应用证书/中级证书生成私钥文件 openssl genrsa -out app.key 2048
6、 根据私钥文件,为应用证书/中级证书生成 csr 文件(证书请求文件) openssl req -new -key app.key -out app.csr
7、 使用CA的公私钥文件给 csr 文件签名,生成应用证书,有效期5年 openssl ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
8、 使用CA的公私钥文件给 csr 文件签名,生成中级证书,有效期5年 openssl ca -extensions v3_ca -in app.csr -out app.crt -cert CARoot1024.crt -keyfile CARoot1024.key -days 1826 -policy policy_anything
以上是生成根证书与应用证书过程中要用到的所有命令,根据生成目标不同,分为三组。其中,前面两组都用于生成自签名的顶级CA(区别只在于密钥长度不同),实际应用中只需根据需求选择一组即可。 最后一组用于生成非自签名的证书,包括中级证书与应用证书。所谓中级证书,是具有继续颁发下级证书权限的子CA,而本文中所说的应用证书,特指不能用来继续颁发下级证书,只能用来证明个体身份的证书。顶级CA在签发二者的时候,只是多少一个 -extensions v3_ca 选项的区别,这个选项赋予被签发的证书继续签发下级证书的权力。
八、openssl数字证书验证报错,用户说该证书没有?
请检查证书信息是否录入准确,如无错误请重新安装驱动,如果仍有问题可能是因为在安装驱动程序时,电脑上安装的杀毒或防火墙将驱动程序的某些组件屏蔽导致驱动程序安装失败,请暂时关闭杀毒和防火墙重新安装驱动程序。
当本地时间不在证书有效期范围内时,查看证书会显示【证书已过期或未生效】。如果该证书有效,说明本地时间不准,调整为最新时间即可。九、PM域名证书?
域名证书用于证明该域名是由其所有人注册,并已在国际顶级域名数据库中备案。 如何获取域名证书呢? 以西部数码的域名证书为例,用户在注册域名或者将域名转入西部数码后,就能查询和打印域名证书。具体方法为:登录用户管理中心,点击“业务管理”-“域名管理”,然后可以右方的域名列表中可以看到域名证书一项,点击对应域名的域名证书,就能看到该域名完整的域名证书,可以直接打印或者截图保存为电子版。
我在西部数码注册了点世界中文域名,并把证书保存为电子版。
十、怎么查询域名证书?
直接浏览器上查看:点击浏览器地址栏的绿色小锁就可以查看SSL证书的有效期
1、使用浏览器访问你的站点域名,然后单击地址栏上面的锁图标进行查看
2、点击“证书信息”进行查看
- 相关评论
- 我要评论
-