文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

openssl给内网IP生成ca证书(ssl证书)

2023-09-13 18:51

关注

1、创建一个存放证书的文件夹

mkdir /opt/zhengshu

 注意:大家自己按照自己的目录创建就行,我的直接放在/opt目录下了。

2、生成私钥和证书请求

openssl req -newkey rsa:2048 -nodes -keyout ca.key -out ca.csr

 注意:申请的时候会让大家填一些参数,下面是参数说明及示例:

字段    字段含义                    示例/C=     Country 国家                CN/ST=    State or Province 省        beijing/L=     Location or City 城市       beijing/O=     Organization 组织或企业     stars-mine/OU=    Organization Unit 部门      stars-mine/CN=    Common Name 是证书拥有者名称  172.xx.xx.xx
#下面这两个参数,大家直接回车跳过就行A challenge password []:An optional company name []:

3、自签署证书

openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

 4、生成服务器证书

openssl genrsa -out server.key 2048

openssl req -new -key server.key -out server.csr

 注意:这一步也会输入参数,要和上一次输入的保持一致 

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

 5、生成客户端证书

openssl genrsa -out client.key 2048

 

openssl req -new -key client.key -out client.csr

 

 注意:这一步也会输入参数,要和前两次输入的保持一致 

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365

 6、到此,所有证书就生成完毕

1、配置示例(Apache):

    ServerName example.com    SSLEngine on    SSLCertificateFile /path/to/server.crt    SSLCertificateKeyFile /path/to/server.key    SSLCACertificateFile /path/to/ca.crt    ...

2、配置示例(Nginx):

server {        listen       80;    listen       443 ssl;        server_name  172.21.10.101;    ssl_certificate /opt/server.crt;    ssl_certificate_key /opt/server.key;    if ($scheme = http) {           return 301 https://$host$uri?$args;        }        #charset koi8-r;        #access_log  logs/host.access.log  main;        location / {            #root   html;            #index  index.html index.htm;            proxy_pass http://172.xx.xx.xx:9000/xxx/xxx/;        }        error_page   500 502 503 504  /50x.html;        location = /50x.html {            root   html;        }    }

3、配置示例(Tomcat):

注意:第一步的这些命令将生成一个名为 ca.crt 的 CA 证书,一个名为 server.crt 的服务器证书以及一个名为 client.crt 的客户端证书。您可以将这些证书分发给您的应用程序和客户端,以启用 SSL/TLS 加密。 

1、内网IP配置了SSL证书后,https无法访问

解决方法:查看服务器防火墙是否都关闭,一定要关闭防火墙

service iptables status

systemctl status firewalld

 状态说明:

出现Active: active (running)切高亮显示则表示是启动状态。出现 Active: inactive (dead)灰色表示停止,看单词也行。

来源地址:https://blog.csdn.net/wd520521/article/details/129832318

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-服务器
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯