openssl生成自签名证书

1、生成x509格式的CA自签名证书

openssl req -new -x509 -keyout ca.key -out ca.crt

2、生成服务端的私钥(key文件)及申请证书文件csr文件

openssl genrsa -des3 -out server.key 1024

openssl req -new -key server.key -out server.csr

3、生成客户端的私钥(key文件)及申请证书csr文件

openssl genrsa -des3 -out client.key 1024

openssl req -new -key client.key -out client.csr

4、用生成的CA的证书为刚才生成的server.csr,client.csr文件签名

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

5、生成p12格式证书

openssl pkcs12 -export -inkey client.key -in client.crt -out client.pfx

openssl pkcs12 -export -inkey server.key -in server.crt -out server.pfx

6、生成pem格式证书

有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成。

cat client.crt client.key> client.pem

cat server.crt server.key > server.pem

7、pfx文件转换为X509证书文件和RSA密钥文件

openssl pkcs12 -in server.pfx -nodes -out server.pem

openssl x509 -in server.pem -out server2.crt

openssl rsa -in server.pem -out server2.key

注意:CA在签证时会出现如下错误,解决方法:

[[email protected] test]# openssl ca -in my.csr -out ldap.crt
Using configuration from /etc/pki/tls/openssl.cnf
I am unable to access the /etc/pki/CA/newcerts directory
/etc/pki/CA/newcerts: No such file or directory
[[email protected] test]# mkdir /etc/pki/CA/newcerts
[[email protected] test]# openssl ca -in my.csr -out ldap.crt
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/index.txt: No such file or directory
unable to open ‘/etc/pki/CA/index.txt‘
23016:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen(‘/etc/pki/CA/index.txt‘,‘r‘)
23016:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
[[email protected] test]# touch /etc/pki/CA/index.txt
[[email protected] test]# openssl ca -in my.csr -out ldap.crt
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/serial: No such file or directory
error while loading serial number
23031:error:02001002:system library:fopen:No such file or directory:bss_file.c:352:fopen(‘/etc/pki/CA/serial‘,‘r‘)
23031:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:354:
[[email protected] test]# touch /etc/pki/CA/serial
[[email protected] test]# echo 00 > /etc/pki/CA/serial

时间: 2024-10-24 13:05:07

openssl生成自签名证书的相关文章

使用openssl创建自签名证书及部署到IIS教程

概要 本文讲解三个部分:1. 创建自签名证书2. 创建自己的证书颁发机构3. 以及如何配置IIS 创建自签名证书 首先,创建一个私钥文件: openssl genrsa -out myselfsigned.key 2048 然后利用私钥创建自签名证书: openssl req -new -x509 -key myselfsigned.key -out myselfsigned.cer -days 36500 执行上面的两个操作之后会提示输入以下几个内容(为了显示正常尽量使用英文): Countr

cmd命令生成android签名证书

cmd命令生成android签名证书,有空在写一篇eclipse导出带签名的apk,这里面包括生成新的签名.现在还是讲讲在cmd怎么操作生成签名证书. 1.dos下进入JDK的bin目录 运行如下命令:keytool -genkey -alias android.keystore -keyalg RSA -validity 20000 -keystore android.keystore (-validity 20000代表有效期天数),命令完成后,bin目录中会生成android.keysto

ios生成自签名证书,实现web下载安装app

抄自http://beyondvincent.com/blog/2014/03/17/five-tips-for-using-self-signed-ssl-certificates-with-ios/ ios7以后,inhouse安装需要ssl了,一般用商用的,不想用商用的,就自己弄一个,通过openssl直接生成自签名的证书以后,golang服务器可以直接用,但是会提示不合法,plist安装会失败 因此,需要自己弄一个ca(证书颁发机构),每个设备装一下这个就可以了 openssl genr

SSL/TLS深度解析--OpenSSL 生成自签证书

密钥算法 OpenSSL 支持 RSA.DSA 和 ECDSA 密钥,但是在实际场景中只是用 RSA 和 ECDSA 密钥.例如 Web 服务器的密钥,都使用RSA或ECDSA,因为DSA效率问题会限制在1024位(相对旧版本浏览器不支持更长的DSA密钥),ECDSA还没有全面范围的普及.比如SSH,一般都是使用DSA和RSA,而不是所有的客户端(不只是浏览器)都支持ECDSA算法. 密钥长度 默认的密钥长度一般都不够安全,老版本的 OpenSSL 默认 RSA 私钥是1024位,所以我们需要指

windows下使用makecert命令生成自签名证书

1.makecert命令路径 C:\Program Files (x86)\Windows Kits\8.1\bin\x64 2.生成一个自签名证书 makecert -r -pe -n "CN=ctrip" -b 01/01/2015 -e 01/01/2055 -sky exchange -ss my

如何在linux系统内用openssl 生成 过期的证书

需求:验证过期的证书在系统中不能使用. 问题:如何生成过期的证书呢? 解决方法:1.调整系统时间 2.生成证书 3.验证证书startdate 和 enddate 是否符合你的预期 1.调整系统时间           1.Set date from the command line:  1 date +%Y%m%d -s "20120418"            2.Set time from the command line:  1 date +%T -s "11:14

OpenSSL生成自签名的sha256泛域名证书

环境: CentOS 6.8 x86_64 安装 openssl openssl-devel cp /etc/pki/tls/openssl.cnf openssl.cnf 修改openssl.cnf [ req ] distinguished_name = req_distinguished_name req_extensions = v3_req  #取消这行注释 # 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉 [ req_di

CA和证书(企业内网搭建CA服务器生成自签名证书,CA签署,实现企业内网基于key验证访问服务器)

一些CA基础 PKI:Public Key Infrastructure签证机构:CA(Certificate Authority)注册机构:RA证书吊销列表:CRL X.509:定义了证书的结构以及认证协议标准版本号 主体公钥序列号 CRL分发点签名算法 扩展信息颁发者 发行者签名有效期限主体名称 证书类型:证书授权机构的证书服务器用户证书获取证书两种方法:1)使用证书授权机构生成证书请求(csr)2)将证书请求csr发送给CACA签名颁发证书自签名的证书自已签发自己的公钥 证书作用 获取证书

openssl生成证书链多级证书

环境centos6.5 初始化 /etc/pki/tls/openssl.cnf rm -rf /etc/pki/CA/*.old touch /etc/pki/CA/index.txt echo 01 > /etc/pki/CA/serial echo 02 > /etc/pki/CA/serial rm -rf keys mkdir keys 生成根CA并自签(Common Name填RootCA) openssl genrsa -des3 -out keys/RootCA.key 204