投稿
  1. 3A网络资讯门户首页
  2. 网站建设

使用Openssl 自签发IP证书

郭靖 网站建设 阅读 1787

使用Openssl 自签发IP证书

日常交付项目中,总是有这样的场景,再使用一些融合通讯的业务时,需要HTTPS 环境,那就涉及到SSL 证书的签发

考虑到项目成本的问题,往往都是本地自签发IP 证书使用;使用openssl生成根证书,签发服务端证书,安装根证书使浏览器信任自签证书。

  • 环境: centos7.9
  • IP: 172.16.10.110 111.111.111.111

创建证书脚本:ssl.sh

[root@all ~]# mkdir ssl
[root@all ~]# cd ssl
[root@all ssl]# vim ssl.sh

证书脚本内容:

#!/bin/sh

# Generate the openssl configuration files.
echo "创建openssl.cnf------------------->"

cat > openssl.cnf << EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = HN
localityName = Locality Name (eg, city)
localityName_default = ZZ
organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = tx
commonName = commonName
commonName_default = tx
commonName_max  = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:TRUE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
IP.1 = 172.16.10.110
IP.2 = 111.111.111.111
EOF

echo "创建v3.ext------------------->"
cat > v3.ext << EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=@alt_names
[alt_names]
IP.1 = 172.16.10.110
IP.2 = 111.111.111.111
EOF

echo "创建CA 根证书------------------------->"
echo "创建私钥 ca.key"
openssl genrsa -out ca.key 2048

echo "创建CA证书 ca.crt"
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

echo "生成服务器证书----------------->"
echo "创建私钥 server.key"
openssl genrsa -out server.key 2048

echo "创建服务器证书请求文件 server.csr"
openssl req -new -days 3650 -key server.key -out server.csr -config openssl.cnf

echo "创建服务器证书 server.crt"
openssl x509 -days 3650 -req -sha256 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

echo "创建pem------------------------>"
cat server.crt server.key > server.pem

echo "创建p12----------------------->"
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "server"

签发证书

#!/bin/sh

# Generate the openssl configuration files.
echo "创建openssl.cnf------------------->"

cat > openssl.cnf << EOF
[req]
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = HN
localityName = Locality Name (eg, city)
localityName_default = ZZ
organizationalUnitName  = Organizational Unit Name (eg, section)
organizationalUnitName_default  = tx
commonName = commonName
commonName_default = tx
commonName_max  = 64
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:TRUE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
IP.1 = 172.16.10.110
IP.2 = 111.111.111.111
EOF

echo "创建v3.ext------------------->"
cat > v3.ext << EOF
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=@alt_names
[alt_names]
IP.1 = 172.16.10.110
IP.2 = 111.111.111.111
EOF

echo "创建CA 根证书------------------------->"
echo "创建私钥 ca.key"
openssl genrsa -out ca.key 2048

echo "创建CA证书 ca.crt"
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

echo "生成服务器证书----------------->"
echo "创建私钥 server.key"
openssl genrsa -out server.key 2048

echo "创建服务器证书请求文件 server.csr"
openssl req -new -days 3650 -key server.key -out server.csr -config openssl.cnf

echo "创建服务器证书 server.crt"
openssl x509 -days 3650 -req -sha256 -extfile v3.ext -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

echo "创建pem------------------------>"
cat server.crt server.key > server.pem

echo "创建p12----------------------->"
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name "server"

签发好的证书

image-20230427093926460

安装根证书使浏览器信任自签证书。

把刚刚生成的server.crt 导入到本地

导入帮助手册: https://jingyan.baidu.com/article/ca41422fda393f5faf99ed0d.html

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/8242

(0)
郭靖的头像郭靖
0 0
上一篇 2023年5月25日 下午5:18
下一篇 2023年5月26日 下午5:29

相关推荐

  • 蓝科模板网站迁移打开空白问题解决 网站建设

    蓝科模板网站迁移打开空白问题解决

    现象:网站迁移后,发现网站打开空白,原网页能正常打开 分析处理过程:首页进行环境检测,使用php测试页<?php phpinfo(); ?>测试 发现php默认页是能够正常打开的,同时发现网站后台能够正常登录,通过百度发现需要清除缓存才可显示正常首页。 点击清理缓存 这样首页就能够打开了,首页正常打开后可能会遇到一些图片显示不全的问题,可以在后台网站管…

    郭靖的头像 郭靖
    2022年12月22日
    1.3K00
  • LAMP环境下部署DiscuzQ Linux系统

    LAMP环境下部署DiscuzQ

    一、安装Apachae yum安装Apache,并设置开机自启动 在网页浏览器输入ip地址,查看Apache是否正常 二、安装配置 MariaDB 执行以下命令,查看系统中是否已安装 MariaDB。 rpm -qa | grep -i mariadb       返回结果类似如下内容,则表示已存在 MariaDB。 &nbsp…

    郭靖的头像 郭靖
    2022年12月6日
    1.7K00
  • <strong>解决discuz论坛搬家:“Table ‘common_syscache’ is read only”问题</strong> 网站建设

    解决discuz论坛搬家:“Table ‘common_syscache’ is read only”问题

    网站搬家采用直接打包mysql数据库和网页文件的形式进行迁移,上传好mysql data目录里面的网站数据库至mysql存放数据库的目录里面,解压就行,我的存放数据库的路径是 /usr/local/mysql/var,上传好网站数据,解压,配置好数据库链接参数就行,网站就能正常连接上了,我本以为这已经是顺利迁移完成了,但后来操作的时候,发现只能读取数据库的内…

    郭靖的头像 郭靖
    2023年2月15日
    1.2K00
  • 用 Nginx 禁止国外 IP 访问我的网站 网站建设

    用 Nginx 禁止国外 IP 访问我的网站

    看了下 Nginx 的访问日志,发现每天有好多国外的 IP 地址来访问我的网站,并且访问的内容基本上都是恶意的。因此我决定禁止国外 IP 来访问我的网站。 想要实现这个功能有很多方法,下面我就来介绍基于 Nginx 的 ngx_http_geoip2 模块来禁止国外 IP 访问网站。 ①安装 geoip2 扩展依赖: ②下载 ngx_http_geoip2_…

    郭靖的头像 郭靖
    2023年4月24日
    1.5K00
  • Centos 7.9 宝塔面板下安装开源IDC机房资产管理系统-Racktables 基础设施运维

    Centos 7.9 宝塔面板下安装开源IDC机房资产管理系统-Racktables

    第一步:准备宝塔环境 根据racktables官方文档,选择合适版本,搭建环境。 第二步:安装racktables 1 官网下载(https://www.racktables.org/)racktables安装包,并上传到宝塔。 2 解压安装包,设置网站,创建数据库 3 浏览器完成安装 Please set ownership (chown) and/or …

    郭靖的头像 郭靖
    2022年12月22日
    2.6K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信
使用Openssl 自签发IP证书
去下载