自签证书二三事个人文章

417 703

为防止根证书被污染,通常使用根证书签发的中介证书为客户作数字签署,得到终端实体证书。

中介证书的有效期会较根证书为短,并可能对不同类别的客户有不同的中介证书作分工。

终端实体证书不会用作签发其他证书。

可以配置以下参数

$opensslgenrsa-aes256-outfd.key2048#根据提示输入密码创建CSRCSR:CertificateSigningRequest,aformatrequestaskingaCAtosignacertificate,包含请求者的publickey和一些身份信息

$opensslreq-new-keyfd.key-outfd.csr#输出如下,交互式输入证书需要的信息Youareabouttobeaskedtoenterinformationthatwillbeincorporatedintoyourcertificaterequest.WhatyouareabouttoenteriswhatiscalledaDistinguishedNameoraDN.TherearequiteafewfieldsbutyoucanleavesomeblankForsomefieldstherewillbeadefaultvalue,Ifyouenter'.',thefieldwillbeleftblank.-----CountryName(2lettercode)[AU]:CNStateorProvinceName(fullname)[Some-State]:JiangsuLocalityName(eg,city)[]:NanjingOrganizationName(eg,company)[InternetWidgitsPtyLtd]:DafuTestOrganizationalUnitName(eg,section)[]:ITCommonName(e.g.serverFQDNorYOURname)[]:www.dafu.comEmailAddress[]:Pleaseenterthefollowing'extra'attributestobesentwithyourcertificaterequestAchallengepassword[]:Anoptionalcompanyname[]:challengepassword,optional,在吊销证书时,用于验证证书原来申请者身份的方式,很少有CA使用,不增加CSR安全性,建议留空

可以使用配置文件指定CSR必要信息,而避免交互式输入

$opensllreq-new-configfd.cnf-keyfd.key-outfd.csr配置文件如下:

[req]prompt=nodistinguished_name=dnreq_extensions=extinput_password=PASSPHRASE[dn]CN=www.feistyduck.comemailAddress=webmaster@feistyduck.comO=FeistyDuckLtdL=LondonC=GB[ext]subjectAltName=DNS:www.feistyduck.com,DNS:feistyduck.com自签证书自己签发证书,而非向CA申请,但需要另外添加信任

$opensslx509-req-sha256-inyour-domain.com.csr-CAroot.crt-CAkeyroot.key-CAcreateserial-outyour-domain.com.crt-days365-extfileyour-domain.com.extCAcreateserial这个参数是比较有意思的,意思是如果证书没有serialnumber就创建一个,因为我们是签名,所以肯定会创建一个。序列号在这里的作用就是唯一标识一个证书,当有两个证书的时候,只有给这两个证书签名的CA和序列号都一样的情况下,我们才认为这两个证书是一致的。除了自定生成,还可以通过-set_serial手动指定一个序列号。

当使用-CAcreateserial参数之后,会自动创建一个和CA文件名相同的,但是后缀是.srl的文件。这里存储了上一次生成的序列号,每次调用的时候都会读取并+1。也就是说每一次生成的证书的序列号都比上一次的加了一。

$opensslverifyroot.crt该证书必须已被添加到系统中,且信任

$opensslverify-CAfileroot.crtintermediate.crtcert.pem:OK校验三级证书

#catfd.key-----BEGINRSAPRIVATEKEY-----[...]-----ENDRSAPRIVATEKEY-----查看密钥内容:

$opensslrsa-text-infd.key#输出形如RSAPrivate-Key:(2048bit,2primes)modulus:[...]publicExponent:65537(0x10001)privateExponent:[...]prime1:[...]prime2:[...]exponent1:[...]exponent2:[...]coefficient:[...]writingRSAkey-----BEGINRSAPRIVATEKEY-----[...]-----ENDRSAPRIVATEKEY-----提取公钥$opensslrsa-infd.key-pubout-outfd-public.key#catfd-public.key-----BEGINPUBLICKEY-----[...]-----ENDPUBLICKEY-----查看CSR内容$opensslreq-text-infd.csr-noout#输出类似CertificateRequest:Data:Version:1(0x0)Subject:C=CN,ST=Jiangsu,L=Nanjing,O=DafuTest,OU=IT,CN=www.dafu.comSubjectPublicKeyInfo:PublicKeyAlgorithm:rsaEncryptionRSAPublic-Key:(2048bit)Modulus:[...]Exponent:65537(0x10001)Attributes:a0:00SignatureAlgorithm:sha256WithRSAEncryption[...]签发过程根证书可以使用-aes256参数加密,会提示输入密码

交互输入信息

generatesanRSAprivatekey

ThersacommandprocessesRSAkeys.Theycanbeconvertedbetweenvariousformsandtheircomponentsprintedout.

ThereqcommandprimarilycreatesandprocessescertificaterequestsinPKCS#10format.ItcanadditionallycreateselfsignedcertificatesforuseasrootCAsforexample.

多用途证书工具

常用参数:

生成证书链(注意顺序)

$catwww.example.com.crtbundle.crt>www.example.com.chained.crt

THE END

轻松掌握火绒安全软件添加信任文件技巧探探手游网

Android自签名证书应用与配置指南OSCHINA

网络安全零门槛手把手教你申请永久免费SSL证书

自签SSL证书如何变为可信任?

https的简单介绍及SSL证书的生成

添加自签发的SSL证书为受信任的根证书如来藏

自签证书二三事个人文章

什么是自签名证书?自签名SSL证书的优缺点?

自己生成的SSL证书与购买的SSL证书有什么区别?

什么是自签名证书?以及如何创建它LenixBlog

自定义证书配置SSL链路加密云数据库RDS(RDS)

1.ssl证书部署方法(宝塔版本)1.首先在阿里云SLL免费证书申请免费证书,有钱的可以购买收费的证书 然后申请之后右侧的 操作按钮那里会有一个【验证按钮】,这里需要先在【域名管理(在哪买的域名就在哪里解析)】增加一条解析记录,解析记录内容就是ssl证书给出的记录值,和记录类型,完成解析后, https://blog.csdn.net/weixin_43811753/article/details/145451677
2.如何在CentOS7上配置SSL?2、安装mod_ssl模块:执行sudo yum install mod_ssl命令,为Apache安装SSL模块,该模块提供了TLS/SSL功能。 (图片来源网络,侵权删除) 二、准备SSL证书文件 1、生成自签名证书(可选):如果只是内部测试环境,可以使用OpenSSL生成自签名证书,首先创建密钥文件和证书请求文件,如openssl genrsa outServer.key 2048生成私钥,ophttps://blog.huochengrm.cn/pc/23861.html
3.Linux自签ssl证书变为可信任猜你喜欢:Linux自签ssl证书变为可信任的证书,可参考如下步骤生成:使用openssl工具打开sslgen.exe。打开页面,输入证书名称,单击“连接”。若服务器搭建成功,可在下拉列表中单击"显示现有的根证书。选择“许可”和“证书更新任务”页签。单击“证书更新任务”,上传已经申请证书的客户端。上传的证书申请提交后,可以查看证https://www.huaweicloud.com/zhishi/edits-17567987.html
4.自签SSL证书变为可信任能实现吗SSL证书是由受信任的第三方证书颁发机构(CA)签发的,这些证书机构被广泛认可和信任。然而,有时候个人或组织可能需要创建自己的SSL证书,以便在他们自己的网站上使用HTTPS加密。这些自签名证书没有经过受信任的第三方CA机构的签名,因此默认情况下不被Web浏览器信任。那么自签SSL证书变为可信任能实现吗? https://www.anxinssl.com/14014.html
5.Java自签ssl证书变为可信任51CTO博客已为您找到关于Java 自签ssl证书变为可信任的相关内容,包含IT学习相关文档代码介绍、相关教程视频课程,以及Java 自签ssl证书变为可信任问答内容。更多Java 自签ssl证书变为可信任相关解答可以来51CTO博客参与分享和学习,帮助广大IT技术人实现成长和进步。https://blog.51cto.com/topic/f65c58425aade6c.html
6.如何添加自签名SSL证书自签名SSL证书存风险有许多重要的公网可以访问的网站系统都在使用自签SSL证书,而不是部署支持浏览器的SSL证书,这绝对是得不偿失的重大决策失误,自签证书普遍存在严重的安全漏洞,极易受到攻击。https://freessl.wosign.com/911.html
7.教程贴如何开启面板SSL并设置浏览器信任自签证书4.接下来我们让浏览器信任自签证书,找到刚刚下载的那个根证书,双击它安装,会出现如下步骤,请跟随下面https://www.bt.cn/bbs/thread-105443-1-1.html
8.openssl为IP签发证书(支持多IP/内外网)腾讯云开发者社区开启https必须要有ssl证书,而安全的证书来源于受信任的CA机构签发,通常需要付费,并且他们只能为域名和外网IP签发证书。 证书有两个基本目的:分发公有密钥和验证服务器的身份。只有当证书是由受信任的第三方所签署的情形下,服务器的身份才能得到恰当验证,因为任何攻击者都可以创建自签名证书并发起中间人攻击。 https://cloud.tencent.com/developer/article/2043402
9.CentOS7上自签名SSL证书生成教程如果你安装了宝塔,可跳过此步骤,因为安装宝塔时,宝塔已经为你的服务器安装上必须运行环境了 宝塔面板安装教程及面板设置指南 7个月前 0153518 生成自签SSL证书 在ssh终端,输入以下命令 openssl req -x509 -newkey rsa:4096-sha256 -days36500-nodes -keyout /www/wwwroot/127.0.0.1.key-out /www/wwwroot/127.0https://wxsnote.cn/4746.html
10.准备5自签名ssl证书《Rancherv2.0使用手册》5 - 自签名ssl证书一、HTTP over SSL二、数字证书(Certificate)数字证书拥有以下几个优点:证书类型扩展名三、自签名证书及自签名类型自签名类型四、生成自签名证书1、一键生成ssl自签名证书脚本2、脚本说明五、验证证书 Rancher是一套容器管理平台,它可以帮助组织在生产环https://www.bookstack.cn/read/rancher-v2.x/43c8d247182c02a2.md
11.详细讲解https证书openssl公钥私钥以及ssh公钥私钥的生成以及使用https 自签证书说明 1. https 的流程示意图 图片.png https 安全通信机制流程详解: 客户端发送 https 请求,把自身支持的秘钥算法套件(SSL 指定版本、加密组件列表)发送给服务器 服务器判断自身是否支持该算法套件,如果支持则返回证书信息(本质为公钥,包含了证书颁发机构,网址,过期时间等) ,否则断开连接, https://xie.infoq.cn/article/1ba6c216260a2faf6631f66e9
12.SSL证书SSL证书安装使用常见问题SSL证书常见问题可通过openssl工具进行自检 Linux/macOS系统可通过执行指令: openssl s_client -connect domain.com:443 windows系统选装openssl工具执行 通过返回信息certificate chain字段能够查看到两个或两个以上不同证书信息即为正确安装 Q7:内网SSL证书安装访问提示证书不可信。 https://ecloud.10086.cn/op-help-center/doc/article/51333
13.使用自定义根CA生成自签名证书配置SSL SSL 终止 端到端 SSL 相互身份验证 管理证书 后端证书 续订证书 为后端生成自签名证书 受信任的客户端证书 SSL 策略 用于AKS 的入口 按URL 路由 托管多个站点 重定向流量 重写HTTP 标头和 URL 配置自定义探测 部署应用程序网关基本层 配置应用服务 https://docs.azure.cn/zh-cn/application-gateway/self-signed-certificates
14.自签名ssl证书总而言之,自签名SSL证书适用于低风险的场景,提供了成本效益,并能保护您的内部网站或测试和开发的环境。但是,如果您需要保障您的网站在公共环境下的安全性,并避免浏览器警告,建议您使用商用SSL证书。 互亿无线一站式SSL证书服务平台 互亿无线专注于为您呈现全面的SSL证书解决方案,确保您网站的安全性和信任度。我们提供https://www.ihuyi.com/pd/ssl/ziqianmingsslzhengshu.html
15.AnyConnect:将自签名证书安装为受信任源自签名证书是由其自己的创建者签名的SSL证书。 首次连接到AnyConnect VPN移动客户端时,用户可能会遇到“不受信任的服务器”警告,如下图所示。 按照本文中的步骤在Windows计算机上安装自签名证书作为受信任源,以消除此问题。 应用导出的证书时,请确保将其放在安装了Anyconnect的客户端PC上。 https://www.cisco.com/c/zh_cn/support/docs/smb/routers/cisco-rv-series-small-business-routers/kmgmt-2587-AnyConnect-Installing-Self-Signed-Certificate.html
16.SSL证书为什么每年都需要重签SSL证书为什么每年都需要重签?SSL证书是在网站和用户之间建立安全连接的数字证书。它的作用是加密敏感数据的传输,确保用户的隐私和数据安全。SSL证书通过确保网站的真实性和可信度,向网站访问者提供了额外的信任保证。 SSL证书由认可的第三方机构,也被称为证书颁发机构(CA),签发和验证。这些机构会对网站的身份进行认证https://news.west.cn/128818.html
17.自签SSL证书和免费SSL证书一般是指自己搭建的CA环境来生成的SSL证书,这个不是由受信任的 CA 机构来签发的 SSL证书,没有经过权威的第三方的验证,浏览器等都不认为这是一个合格的安全的SSL证书产品,因此这样的自签SSL证书在浏览器里面都会被安全警告,提醒用户这并不是一个有效的SSL证书。 https://www.eolink.com/news/post/35766.html
18.如何自制ssl证书,有哪些步骤方法?自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。同时,浏览器还会发出“吊销列表不可用,是否继续?”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。 https://www.xinnet.com/knowledge/2142332924.html
19.Ubuntu16.04上为Nginx创建自签名SSL证书nginxSSL证书是实现HTTPS的关键组成部分,本文主要介绍了Ubuntu16.04上为Nginx创建自签名SSL证书,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧+ 目录 GPT4.0+Midjourney绘画+国内大模型 会员永久免费使用!【 如果你想靠AI翻身,你先需要一个靠谱的https://www.jb51.net/server/321026mnq.htm
20.自签名证书:带CA与不带CA的区别及如何选择在构建安全的网络通信环境时,SSL/TLS证书是不可或缺的一环。 它们为服务器和客户端之间的通信提供了加密保障。 在实践中,我们可以选择使用自签名证书,而这些自签名证书又分为带CA(证书颁发机构)和不带CA两种。 本文将详细解释这两种自签名证书的区别,并为您提供选择自签名证书时的参考依据。 https://www.bunian.cn/16783.html
21.SSL证书七大常见错误及解决方法错误地将SAN填写为子域名、多域名、内部SAN或IP地址。 错误七:证书不受浏览器信任 在证书安装完成后,可能还会出现证书不受信任的警告。 解决办法: 首先,确认安装的SSL证书是全球可信SSL证书,可兼容您正在使用的浏览器。再检查您是否未安装中间证书或根证书丢失。若中间证书遗失,您可以与您的证书代理服务商联系,检查https://blog.itpub.net/69998338/viewspace-2786877/
22.生成可信任的https证书2,创建服务器证书 在得到CA证书之后,需要通过openssl工具对证书进行转换得到公钥(.crt文件)和密钥(.key文件),无论CA证书是怎么来的到这里之后就没有任何区别了,服务器证书的制作流程相较CA证书要复杂一点点。 第一步:通过openssl工具创建服务器的秘钥 https://www.jianshu.com/p/a258aa403d03