当前位置: 首页 > news >正文

【知识科普】使用 OpenSSL为特定域名生成自签名证书

news 2025/2/22 2:13:42

使用 OpenSSL为特定域名生成自签名证书

    • 证书生成
      • 1. 生成私钥
      • 2. 创建证书签名请求(CSR)
      • 3. 生成自签名证书
      • 4. 验证证书
      • 5. 使用证书和私钥
      • 6. 清理
    • 证书验证
      • 查看证书信息
      • 验证证书链
      • 检查证书是否过期
      • 检查证书的主题和签发者
      • 检查证书是否被信任
      • 检查证书的指纹
      • 检查证书中的扩展

证书生成

要使用 OpenSSL 为特定域名生成自签名证书,请按照以下步骤操作:

1. 生成私钥

首先,生成一个 RSA 私钥并将其保存到文件中:

openssl genrsa -out mydomain.key 2048

这里,mydomain.key 是生成的私钥文件,2048 表示密钥长度。

2. 创建证书签名请求(CSR)

使用私钥文件生成 CSR。在创建 CSR 时,你需要提供一些信息,如你的国家、地区、组织名称等。以下命令将引导你完成这个过程:

openssl req -new -key mydomain.key -out mydomain.csr

在命令执行过程中,你会被问到一些问题,包括:

  • Country Name (2 letter code) [XX]:你的国家代码。
  • State or Province Name (full name) []:你的州或省份名称。
  • Locality Name (eg, city) [Default City]:你的城市名称。
  • Organization Name (eg, company) [Default Company Ltd]:你的组织名称。
  • Organizational Unit Name (eg, section) []:你的部门名称。
  • Common Name (eg, fully qualified host name) []:你的域名(如 mydomain.com)。
  • Email Address []:你的电子邮件地址。

确保在 Common Name 字段中输入你的域名。

3. 生成自签名证书

使用 CSR 和私钥生成自签名证书。以下命令将生成一个有效期为 365 天的自签名证书,并将其保存为 mydomain.crt

openssl x509 -req -days 365 -in mydomain.csr -signkey mydomain.key -out mydomain.crt

这里,mydomain.crt 是自签名证书文件。

4. 验证证书

验证生成的证书:

openssl x509 -text -noout -in mydomain.crt

5. 使用证书和私钥

现在,你可以使用 mydomain.crtmydomain.key 为你的应用程序配置 SSL/TLS 加密。例如,如果你正在配置一个 web 服务器,你可以将这两个文件放置在服务器的配置目录中,并引用它们。

6. 清理

完成证书生成后,你可以选择删除 CSR 文件,因为它不再被需要:

rm mydomain.csr

这样,你就使用 OpenSSL 成功生成了一个自签名的 SSL/TLS 证书。这个证书可以用于测试或开发环境,但不应在生产环境中使用,因为它不会被客户端(如 web 浏览器)信任。

证书验证

要验证自签名证书,你可以使用 OpenSSL 命令行工具来检查证书的内容和有效性。以下是一些常用的命令:

查看证书信息

要查看证书的基本信息,包括有效期、主题、签发者等,可以使用以下命令:

openssl x509 -in mydomain.crt -text -noout

这里,mydomain.crt 是你的自签名证书文件。

验证证书链

如果你想检查证书链是否有效,可以使用 -CAfile 参数指定一个或多个 CA 证书来验证:

openssl verify -CAfile ca.crt mydomain.crt

这里,ca.crt 是 CA 证书文件,mydomain.crt 是你的自签名证书。

检查证书是否过期

要检查证书是否已过期或即将过期,可以使用以下命令:

openssl x509 -in mydomain.crt -dates -noout

这将显示证书的生效日期和过期日期。

检查证书的主题和签发者

要检查证书的主题和签发者是否与预期匹配,可以使用以下命令:

openssl x509 -in mydomain.crt -subject -issuer -noout

这将显示证书的主题(即证书的拥有者)和签发者(即颁发证书的 CA)。

检查证书是否被信任

自签名证书默认不会被客户端信任,但如果你想检查证书是否包含正确的扩展和属性,可以使用以下命令:

openssl x509 -in mydomain.crt -ext -noout

这将显示证书的所有扩展信息。

检查证书的指纹

要获取证书的指纹,可以使用以下命令:

openssl x509 -in mydomain.crt -fingerprint -noout

这将显示证书的 SHA-1 和 SHA-256 指纹。

检查证书中的扩展

如果你想检查证书中的特定扩展,可以使用 -ext 参数:

openssl x509 -in mydomain.crt -ext subjectAltName -noout

这将显示证书中的主题备用名称(Subject Alternative Name)扩展。

使用这些命令,你可以验证自签名证书的有效性、查看证书信息以及检查证书是否满足特定的安全要求。


http://www.mrgr.cn/news/67359.html

相关文章:

  • Python 详细实现无损压缩之 DEFLATE 算法
  • VS2013安装报错“windows程序兼容性模式已打开,请将其关闭 ”解决方案
  • Python | Leetcode Python题解之第542题01矩阵
  • wps怎么算出一行1和0两种数值中连续数值1的个数,出现0后不再计算?
  • Python练习9
  • 快速部署和体验内置开源 LLM 大模型
  • UE5.4 PCG基础节点
  • 【Linux 29】传输层协议 - UDP
  • Linux 使用及常用命令详解
  • 【Linux-进程间通信】消息队列
  • LLMs之Leaderboard:Chatbot Arena的简介、使用方法、案例应用之详细攻略
  • SIwave:释放 TDR(时域反射计)向导的强大功能
  • C++ | Leetcode C++题解之第543题二叉树的直径
  • 【1个月速成Java】基于Android平台开发个人记账app学习日记——第8天,完成注册登录并保存到数据库
  • GEE 使用 JavaScript 中的 API 自动删除文件夹内的所有资产
  • verilog-HDL基础
  • 超实惠的租借服务器训练深度学习方法
  • Renesas R7FA8D1BH (Cortex®-M85) 存储空间介绍
  • C语言 | Leetcode C语言题解之第543题二叉树的直径
  • SIwave:释放信号网络分析仪的强大功能