文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

SSL证书生成,完成HTTPS验证

2023-06-04 17:50

关注

SSL证书生成,完成HTTPS验证

SSL证书是HTTP升级到HTTPS安全连接的直达路径,SSL证书可通过向数字证书颁发机构(CA)申请。然而,SSL证书的制作也不是一气呵成,它也需要一定的程序,但是也并不复杂。只要申请资料审核通过,制作SSL证书也比较快捷迅速。下面一起了解如何生成SSL证书。

  SSL证书的类型包括:

1,CA证书,也叫根证书或者中间级证书。如果是单向https认证的话,该证书是可选的。不安装CA证书的话,浏览器默认是不安全的。

2,服务器证书,必选项。通过key,证书请求文件csr,再通过CA证书签名,生成服务器证书。

3,客户端证书,可选项。若有客户端证书则是双向https验证。

以上所有证书都可以自己生成。

文件后缀

linux系统是不以后缀名来判断文件类型的,但是为了我们能够更好地判断文件用途,所以添加各种后缀。以下是约定成俗的后缀。

*.key:密钥文件,一般是SSL中的私钥;

*.csr:证书请求文件,里面包含公钥和其他信息,通过签名后就可以生成证书;

*.crt, *.cert:证书文件,包含公钥,签名和其他需要认证的信息,比如主机名称(IP)等。

*.pem:里面一般包含私钥和证书的信息。

SSL证书生成,完成HTTPS验证

服务器证书的生成

a)  生成服务器私钥

openssl genrsa -des3 -out server.key 1024

输入加密密码,用 128 位 rsa 算法生成密钥,得到 server.key 文件。

b)  生成服务器证书请求( CSR )

openssl req -new -key server.key -out server.csr

CSR( Certificate Signing Request)是一个证书签名请求,在申请证书之前,首先要在服务器上生成 CSR ,并将其提交给 CA 认证中心, CA 才能签发 SSL 服务器证书。也可以认为, CSR 就是一个在服务器上生成的证书。

在生成这个文件的过程中,有一点需要特别注意,Common Name 填入主机名(或者服务器IP)。

c)  自己生成服务器证书

如果不使用 CA 证书签名的话,用如下方式生成:

openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt

用服务器密钥和证书请求生成证书 server.crt , -days 参数指明证书有效期,单位为天。商业上来说,服务器证书是由通过第三方机构颁发的,该证书由第三方认证机构颁发的。

如果使用 CA 证书签名,用 openssl 提供的工具 CA.sh 生成服务器证书:

mv server.csr newreq.pem

./CA.sh -sign

mv newcert.pem server.crt

签名证书后,可通过如下命令可查看服务器证书的内容:

openssl x509 -noout -text -in server.crt

可通过如下命令验证服务器证书:

openssl verify -CAfile ca.crt server.crt

客户证书的生成

客户证书是可选的。如果有客户证书,就是双向认证 HTTPS ,否则就是单向认证 HTTPS 。

a)  生成客户私钥

openssl genrsa -des3 -out client.key 1024

b)  生成客户证书签名请求

openssl req -new -key client.key -out client.csr

c)  生成客户证书(使用 CA 证书签名)

openssl ca -in client.csr -out client.crt

d)  证书转换成浏览器认识的格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

  证书列表

如果使用双向认证,就会有三个私钥和三个证书。分别是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ,以及给浏览器的 client.pfx 。

如果使用有 CA 证书的单向认证,证书和私钥就是 ca.key, ca.crt, server.key, server.crt 。

如果使用无 CA 证书的单向认证,证书和私钥就是 server.key, server.crt 。

最后在fedora作为客户端,wget 1.14通过命令

wget –ca-certificate=server.crt https://+ip+file 成功获取文件,证书验证通过。

 SSL证书生成,完成HTTPS验证

全球可信CA机构

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯