1.修改 openssl 配置文件
2.在服务器 pki 的 CA 目录下新建两个文件
<code>cd /etc/pki/CA && touch index.txt serial && echo 01 > serial/<code>
3.生成 CA 根证书密钥
<code>cd /etc/pki/CA/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem/<code>
4.生成根证书(根据提示输入信息,除了 Country Name 选项需要记住的,后面的随便填)
<code>openssl req -new -x509 -key private/cakey.pem -out cacert.pem/<code>
5.生成密钥文件
<code>openssl genrsa -out nginx.key 2048/<code>
6.生成证书请求文件(CSR):
A. 根据提示输入信息,除了 Country Name 与前面根证书一致外,其他随便填写
B. Common Name 填写要保护的域名,比如:*.qhh.me
<code>openssl req -new -key nginx.key -out nginx.csr/<code>
7.使用 openssl 签署 CSR 请求,生成证书
至此自签名证书生成完成,最终需要:nginx.key 和 nginx.crt
1.openssl中有如下后缀名的文件
(1). key格式:私有的密钥;
(2).csr格式:证书签名请求(证书请求文件),含有公钥信息;
(3).crt格式:证书文件,certificate的缩写;
(4).crl格式:证书吊销列表,Certificate Revocation List的缩写;
(5).pem格式:用于导出、导入证书时候的证书的格式,有证书开头、结尾的格式;
2.什么是x509证书链
(1).x509证书一般会用到三类文件,key,csr,crt;
(2).Key是私用密钥,openssl格式,通常是rsa算法;
(3).csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥;
(4).crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。
3.概念
首先要有一个CA根证书,然后用CA根证书来签发用户证书。
用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。
特别说明:
(1)自签名证书(一般用于顶级证书、根证书): 证书的名称和认证机构的名称相同.
(2)根证书:根证书是CA认证中心给自己颁发的证书,是信任链的起始点。任何安装CA根证书的服务器都意味着对这个CA认证中心是信任的。
4.生成自签名的证书
(1).req是证书请求的子命令
(2).-newkey rsa:2048 -keyout private_key.pem 表示生成私钥(PKCS8格式)
(3).-nodes 表示私钥不加密,若不带参数将提示输入密码
(4).-x509表示输出证书
(5).-days365 为有效期,此后根据提示输入证书拥有者信息;
#openssl req -newkey rsa:2048 -nodes -keyout rsa_private.key -x509 -days 365 -out cert.crt
5.使用 已有RSA 私钥生成自签名证书
#openssl req -new -x509 -days 365 -key rsa_private.key -out cert.crt
-new 指生成证书请求;
-x509 表示直接输出证书;
-key 指定私钥文件,其余选项与上述命令相同;
6.使用 RSA私钥生成 CSR 签名请求
$openssl genrsa -aes256 -passout pass:111111 -out server.key 2048
$openssl req -new -key server.key -out server.csr
7.Openssl 生成自签名证书的三种方式:
第一种:通过openssl生成私钥
#openssl genrsa -out server.key 1024
使用私钥生成自签名的cert证书文件,以下是通过参数只定证书需要的信息
#openssl req -new -x509 -days 3650 -key server.key -out server.crt -subj "/C=CN“
第二种:通过openssl生成私钥
#openssl genrsa -out server.key 1024
根据私钥生成证书申请文件csr
#openssl req -new -key server.key -out server.csr
使用私钥对证书申请进行签名从而生成证书
#openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650
第三种:直接生成证书文件
#openssl req -new -x509 -keyout server.key -out server.crt -config openssl.cnf
备注:以上生成得到的server.crt证书,格式都是pem的
