用openssl为WEB服务器生成证书(自签名CA证书,服务器证书)
用openssl为web服务器生成证书(自签名ca证书,服务器证书)
来源: 来自
写于: 2019-03-28.
- 不想用自签名证书,想在网上申请一个免费服务器证书,见这篇:
以下内容是用自签名证书,为网站生成服务器证书。
照着这一篇"用openssl为eap-tls生成证书(ca证书,服务器证书,用户证书)",建立所有文件。
其中openssl.cnf 按以下新增几行。用于匹配你的服务器域名,或者是ip。
openssl.cnf
#openssl.cnf [ ca ] default_ca = hostapd [ hostapd ] dir = . serial = $dir/0serial database = $dir/2indexdb.txt new_certs_dir = $dir/3certs_new certificate = $dir/ca_cert.pem private_key = $dir/ca_key.pem randfile = /dev/urandom default_bits = 4096 default_days = 36500 default_crl_days = 36500 default_md = sha512 #unique_subject = no policy = policy_anything [ policy_anything ] countryname = optional stateorprovincename = optional localityname = optional organizationname = supplied organizationalunitname = optional commonname = supplied emailaddress = optional [ req ] distinguished_name = req_distinguished_name string_mask = utf8only [ req_distinguished_name ] [ v3_ca ] subjectkeyidentifier = hash authoritykeyidentifier = keyid:always,issuer basicconstraints = critical,ca:true certificatepolicies=ia5org,@pl_section [ server_cert ] subjectkeyidentifier = hash authoritykeyidentifier = keyid:always,issuer basicconstraints = ca:false extendedkeyusage = serverauth,mssgc,nssgc certificatepolicies=ia5org,@pl_section subjectaltname = @dns_names <---新增 [ dns_names ] <---新增 dns.1 = my.domain.com <---新增 dns.2 = your.domain.net <---新增 ip.1 = 1.2.3.4 <---新增 ip.2 = 5.6.7.8 <---新增 [ user_cert ] subjectkeyidentifier = hash authoritykeyidentifier = keyid:always,issuer basicconstraints = ca:false #subjectaltname = email:copy extendedkeyusage = clientauth,emailprotection,timestamping certificatepolicies=ia5org,@pl_section [ pl_section ] policyidentifier = "x509v3 any policy" # 颁发者说明的链接. windows中,要导入信任之后才生效. cps.1 = https://your.web.com/cps/readme.html usernotice.1=@pl_notice [ pl_notice ] # 颁发者说明,issuer statment. 不支持utf8中文,因为ia5org。 explicittext="read deail at https://your.web.com/xxx.html"
usernotice.1 的文字说明,只能是英文,中文会乱码。
文字说明,无论此证书是否被系统信任,查看证书时都会出现在"颁发者说明"中(issuer statement)。
cps.1 的链接。系统未信任此证书时,是不显示的。信任后,才会出现在"颁发者说明"中(issuer statement)。
cps.1= 可以是 "http://" 也可以是 "https://"。
只有一个域名,就只写 dns.1=
,其他的不要了。
有多个域名,配置中就写 dns.1=
, dns.2=
, dns.3=
... dns.9=
可以写通配符域名,dns.1=*.mydom.org
,
将匹配所有以 .mydom.org
的所有域名。如: abc.mydom.org
, www.mydom.org
...
但不匹配 mydom.org
所以通配符域名一般写两行 dns.1=mydom.org
, dns.2=*.mydom.org
使用方法,只使用这两个命令:
new-ca.sh
创建自签名root证书。new-server.sh
创建web用的服务器证书。
这三个文件,就是用于配置web服务器需要的证书。ca_cert.pem
, server_cert.pem
, server_key.pem
如需要,参考以下证书格式转换的指令:
查看/打印 pem 证书
openssl x509 -in ca_cert.pem -text -noout
openssl x509 -in server_cert.pem -text -noout
把 pem 转为 der 格式,(证书,密钥)openssl x509 -outform der -in server_cert.pem -out server.cer
服务器证书。openssl rsa -in server_key.pem -outform der -out server_key.cer
服务器密钥。
把 pem 转为 p12 格式(pfx),(证书,密钥)openssl pkcs12 -export -out server.p12 -inkey server_key.pem -in server_cert.pem -certfile ca_cert.pem
把 p12 转 jks,用java的 keytool 工具转换/导入
把 pem 转 pkcs#7 格式,(证书)openssl crl2pkcs7 -nocrl -certfile server_cert.pem -out server.p7b
不想用自签名证书,那去网上申请一个免费服务器证书吧:
转载请注明来源。
来源: 来自
--------- end ---------