投稿
  1. 3A网络资讯门户首页
  2. 网站建设

OpenSSL自签证书生成

郭靖 网站建设 阅读 1389

一 背景

我们的mqtt broker服务,使用了SSL自签证书,可以提高mqtt连接安全性。

二 生成自签证书

在Centos7下生成,有效时长:100年

# copy openssl的默认配置 到当前目录下
cp /etc/pki/tls/openssl.cnf ./

# 1 放开注释  req_extensions = v3_req
# 2 在v3_req中增加subjectAltName,并在下面增加多个域名如下
----------------------start---------------------------------------------
vim openssl.cnf
[ v3_req ]
 
# Extensions to add to a certificate request
 
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName          = @alt_names
 
[ alt_names ]
DNS.1 = mafgwo.cn
DNS.2 = *.mafgwo.cn
DNS.3 = dev.mafgwo.cn
DNS.4 = *.dev.mafgwo.cn
------------------------end------------------------------------------

# 3 生成ca证书
------------------start-----------------------------------------------------------------------
Country Name (2 letter code) [AU]:CN ← 国家 
State or Province Name (full name) [Some-State]:Guangdong ← 省 
Locality Name (eg, city) []:Guangzhou ← 市 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:ZG ← 公司英文名 
Organizational Unit Name (eg, section) []: ← 可以不输入 
Common Name (eg, YOUR name) []: ← 此时不输入 
Email Address []: ← 电子邮箱,可随意填 或不填
-----------------end---------------------------------------------------------------------------
 
openssl req -new -x509 -days 36500 -config openssl.cnf -extensions v3_ca -keyout ca.key -out ca.crt
 
# 4 生成server证书
openssl genrsa -out server.key 2048
 
----------------start-------------------------------------------------------------
> Country Name (2 letter code) [AU]:CN ← 国家名称,中国输入CN 
> State or Province Name (full name) [Some-State]:Guangdong ← 省名,拼音 
> Locality Name (eg, city) []:Guangzhou ← 市名,拼音 
> Organization Name (eg, company) [Internet Widgits Pty Ltd]:ZG ← 公司英文名 
> Organizational Unit Name (eg, section) []: ← 可以不输入 
> Common Name (eg, YOUR name) []:mafgwo.cn ← 服务器域名或IP地址 
> Email Address []: ← 电子邮箱,可随便填 或不填
 
> Please enter the following ‘extra’ attributes 
> to be sent with your certificate request 
> A challenge password []: ← 可以不输入 
> An optional company name []: ← 可以不输入
----------------end---------------------------------------------------------------
 
openssl req -config openssl.cnf -out server.csr -key server.key -new
 
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 36500
 
# touch /etc/pki/CA/index.txt  该文件没有则需要生成
# echo 01 >> /etc/pki/CA/serial  该文件没有则需要生成
openssl ca -in server.csr -md sha256 -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/7571

(0)
郭靖的头像郭靖
0 0
上一篇 2023年3月8日 下午4:51
下一篇 2023年3月9日 下午4:30

相关推荐

  • 七牛云对象存储使用 qshell 批量管理文件存储类型(实战教程) Linux系统

    七牛云对象存储使用 qshell 批量管理文件存储类型(实战教程)

    七牛云对象存储使用 qshell 批量管理文件存储类型(实战教程) 一、适用场景说明 本教程适用于以下典型场景: 二、前置条件 1️⃣ 准备 qshell 下载地址:https://github.com/qiniu/qshell/releases 确认版本(建议记录): 2️⃣ 七牛云 AccessKey / SecretKey 确保账号具备以下权限(至少)…

    郭靖的头像 郭靖
    2025年12月19日
    89900
  • <strong>解决discuz论坛搬家:“Table ‘common_syscache’ is read only”问题</strong> 网站建设

    解决discuz论坛搬家:“Table ‘common_syscache’ is read only”问题

    网站搬家采用直接打包mysql数据库和网页文件的形式进行迁移,上传好mysql data目录里面的网站数据库至mysql存放数据库的目录里面,解压就行,我的存放数据库的路径是 /usr/local/mysql/var,上传好网站数据,解压,配置好数据库链接参数就行,网站就能正常连接上了,我本以为这已经是顺利迁移完成了,但后来操作的时候,发现只能读取数据库的内…

    郭靖的头像 郭靖
    2023年2月15日
    1.3K00
  • OneinStack一键安装PHP/JAVA/HHVM和超详细的VPS手动安装LNMP的方法 网站建设

    OneinStack一键安装PHP/JAVA/HHVM和超详细的VPS手动安装LNMP的方法

    安装步骤 如何添加附加组件? 注意 如果之前没有安装组件,后续补充安装,统一入口为./install.sh,addons.sh脚本不在提供,如之前没有安装php redis扩展,补充安装命令:./install.sh –php_extensions redis 如何添加虚拟主机? 如何删除虚拟主机? 如何管理FTP账号? 如何备份? 如何管理服务? 注意 …

    郭靖的头像 郭靖
    2023年4月14日
    1.3K00
  • 蓝科模板网站迁移打开空白问题解决 网站建设

    蓝科模板网站迁移打开空白问题解决

    现象:网站迁移后,发现网站打开空白,原网页能正常打开 分析处理过程:首页进行环境检测,使用php测试页<?php phpinfo(); ?>测试 发现php默认页是能够正常打开的,同时发现网站后台能够正常登录,通过百度发现需要清除缓存才可显示正常首页。 点击清理缓存 这样首页就能够打开了,首页正常打开后可能会遇到一些图片显示不全的问题,可以在后台网站管…

    郭靖的头像 郭靖
    2022年12月22日
    1.5K00
  • 使用Openssl 自签发IP证书 网站建设

    使用Openssl 自签发IP证书

    使用Openssl 自签发IP证书 日常交付项目中,总是有这样的场景,再使用一些融合通讯的业务时,需要HTTPS 环境,那就涉及到SSL 证书的签发 考虑到项目成本的问题,往往都是本地自签发IP 证书使用;使用openssl生成根证书,签发服务端证书,安装根证书使浏览器信任自签证书。 创建证书脚本:ssl.sh 证书脚本内容: 签发证书 签发好的证书 安装根…

    郭靖的头像 郭靖
    2023年5月26日
    1.9K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信