Linux下生成openssl自签名证书

时间 2019-11-24

原文原文链接

校验证书是否被 CA 证书签名，正确的状况：

$ openssl verify -CAfile /etc/kubernetes/cert/ca.pem /etc/kubernetes/cert/kubernetes.pem
/etc/kubernetes/cert/kubernetes.pem: OK

------------------------------------------------------------------------------html

把生成的ca证书和去除密码的私钥文件部署到web服务器后，执行如下命令验证: nginx

不加CA证书验证git

openssl s_client -connect demo.rancher.com:443 -servername demo.rancher.com

添加CA证书验证web

 
     openssl s_client -connect demo.rancher.com:443 -servername demo.rancher.com -CAfile server-ca.crt 
    

---------------------------------------------------------------------------------算法

Nginx 配置支持HTTPSvim

vim nginx.confwindows

server {
    listen 80;
    listen 443 ssl;
    server_name  *.*.com
    ...
    #ssl on; #同时开启http和https时，不须要开启此项！
  ssl_certificate /data/mysite/htdocs/server.crt;
    ssl_certificate_key /data/mysite/htdocs/server.key;
    ...
    }

http 与https并存浏览器

nginx配置https的官网连接：http://nginx.org/en/docs/http/configuring_https_servers.html安全

-------------------------------------------------------------------------------------------------服务器

SSL 安全证书能够本身生成，也能够经过第三方的 CA （ Certification Authority ）认证中心付费申请颁发。

SSL 安全证书包括：

一、CA 证书，也叫根证书或中间级证书。单向认证的 https ， CA 证书是可选的。主要目的是使证书构成一个证书链，以达到浏览器信任证书的目的。若是使用了 CA 证书，服务器证书和客户证书都使用 CA 证书来签名。若是不安装 CA 证书，浏览器默认认为是不安全的。

二、服务器证书。必选。经过服务器私钥，生成证书请求文件 CSR ，再经过 CA 证书签名生成服务器证书。

三、客户证书。可选。若是有客户证书，就是双向认证的 HTTPS ，不然就是单向认证的 HTTPS 。生成步骤和服务器证书相似。

上面几种证书均可以本身生成。商业上，通常本身提供服务器或客户证书端的私钥和证书请求 CSR ，或向第三方机构付费申请获得经过 CA 证书签名的服务器证书和客户证书。

准备工做:

在操做前，最好将openssl.cnf文件打开，查看其dir路径将其修改成dir = /home/wjoyxt/demoCA /，不然下面的步骤会提示路径没法找到。

一、手动在当前目录/home/wjoyxt建立一个CA目录结构：

$ mkdir -p ./demoCA/newcerts

二、建立空文件：

$ touch demoCA/index.txt

三、建立并向文件中写入01：

$ echo 01 > demoCA/serial

PKI（Public Key Infrastructure ）即"公钥基础设施"

RSA 即RSA公钥加密算法，RSA是目前最有影响力的公钥加密算法，它可以抵抗到目前为止已知的绝大多数密码攻击，已被ISO推荐为公钥数据加密标准

CSR ( Certificate Signing Request ）是一个证书签名请求，在申请证书以前，首先要在 WEB 服务器上生成 CSR ，并将其提交给 CA 认证中心， CA 才能给您签发 SSL 服务器证书。能够这样认为， CSR 就是一个在您服务器上生成的证书。

CA中心又称CA机构，即证书受权中心(Certificate Authority )，或称证书受权机构，做为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任

CA中心为每一个使用公开密钥的用户发放一个数字证书，数字证书的做用是证实证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。
数字安全证书就是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份，即要在Internet上解决"我是谁"的问题，就如同现实中咱们每个人都要拥有一张证实我的身份的身份证或驾驶执照同样，以代表咱们的身份或某种资格.

1、首先开始创建根证书
一、生成CA的私钥(key文件)
openssl genrsa -out ca.key 1024

这来细细讲一下这条命令： openssl指进入openssl环境，genrsa是openssl中的一个小应用程序，用来产生rsa私钥。-des3是指将产生的私钥用triple DES进行加密。这是个可选项，还有-des -idea都是对称加密算法，随你本身选择. -out就是指定输出了，若是不加这个选项的话，就会将输出发到标准输出中.2048指私钥的长度，单们是bit，默认是512

openssl genrsa -des3 -out ca.key 1024 为私钥加密码

openssl rsa -in server.key -out ca.key 为私钥移除密码

二、填写证书申请表。（省略）
openssl req -new -key ca.key -out ca.csr -config /etc/pki/tls/openssl.cnf
生成csr文件并交给CA签名后才可造成证书，屏幕上将有提示,依照其指示一步一步输入要求的我的信息便可
这个命令将会生成一个证书请求，固然，用到了前面生成的密钥ca.key文件,这里将生成一个新的文件ca.csr，即一个证书请求文件，你能够拿着这个文件去数字证书颁发机构（即CA）申请一个数字证书。CA会给你一个新的文件ca.crt ，那才是你的数字证书。

三、本身签订根签书

openssl req -new -x509 -days 1000 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf -subj "/C=cn/ST=beijing/O=zuweihui/CN=www.abc.com"

Country Name (2 letter code) [AU]:（国家） ----必填 C
State or Province Name (full name) [Some-State]:（洲/省） ----必填 ST
Locality Name (eg, city) []:（城/镇） ----可为空 L
Organization Name (eg, company) [Internet Widgits Pty Ltd]:（组织名） ----必填 O
Organizational Unit Name (eg, section) []:（单位名） ----可为空 OU
Common Name (eg, YOUR name) []:（httpd-ssl.conf中的ServerName 名称） ----必填 CN (此处签署根证书时可不填，签订服务器端证书时必填)
Email Address []:（邮箱） ----可为空

若是是本身作测试，那么证书的申请机构和颁发机构都是本身。就能够用上面这个命令来生成证书。（ X.509是一种很是通用的证书格式）

2、制作服务器端的证书并用ca签名
1、生成服务器端rsa私钥
openssl genrsa -out server.key 1024

二、生成服务器证书请求（ CSR ）
openssl req -new -key server.key -out server.csr -config /etc/pki/tls/openssl.cnf -subj "/C=cn/ST=beijing/O=zuweihui/CN=www.def.com"

国家、省和组织名要与上面CA证书一致(区分大小写)，不然签署时必然要失败
须要依次输入国家，地区，组织，email。最重要的是有一个Common Name 即CN，能够写你的名字或者域名。若是为了https申请，这个必须和域名或对外访问IP相吻合，不然会引起浏览器警报。生成的csr文件交给CA签名后造成服务端本身的证书。

三、用生成的CA的证书为刚才生成的server.csr或client.csr文件签名
openssl ca -keyfile ca.key -cert ca.crt -in server.csr -out server.crt -config /etc/pki/tls/openssl.cnf

查看建立的证书信息:

openssl x509 -noout -text -in *.crt

openssl req -noout -text -in *.csr

openssl rsa -noout -text -in *.key

3、制作客户端的证书并用ca签名：（与生成服务器证书差很少）
须要注意的是：
这个certificate是BASE64形式的,要转成 PKCS#12/PFX 格式才能安装到浏览器上.因此还要进行转换一下

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

执行后提示以下：
Enter pass phrase for client.key:
Enter Export Password: # 设置client.pfx密码
Verifying - Enter Export Password:

另：
client 使用的文件有：ca.crt,client.crt,client.key,client.pfx
server 使用的文件有：ca.crt,server.crt,server.key

证书安装及使用
把刚才生成的证书：根证书ca.crt和客户证书client.crt(client.pfx)安装到客户端， ca.crt安装到信任的机构，client.crt直接在windows安装或安装到我的证书位置，而后用IP访问HTTP和https服务器。在IE中咱们通常导入client.pfx证书，导入时会提示上面设置的密码。
----------------------------------------------------------------------------------------------------------------------------------------

另：

openssl passwd [-crypt] [-1] [-apr1] [-salt string] [-in file] [-stdin]  [-quiet] [-table] {password}

说明：
本指令计算用来哈希某个密码，也能够用来哈希文件内容。
本指令支持三种哈希算法：
UNIX系统的标准哈希算法(crypt)
MD5-based BSD(1)

OPTIONS
-crypt -1 -apr1
这三个option中任意选择一个做为哈希算法，缺省的是-crypt
-salt string
输入做为salt的字符串。
-in file
要哈希的文件名称
-stdin
从标准输入读入密码
-quiet
当从标准输入读密码，输入的密码太长的时候，程序将自动解短它。这个option的
set将不在状况下发出警告。
-table
在输出列的时候,先输出明文的密码,而后输出一个TAB,再输出哈希值.
举例时间:
openssl passwd -crypt -salt xx password xxj31ZMTZzkVA.
openssl passwd -1 -salt xxxxxxxx password $1$xxxxxxxx$8XJIcl6ZXqBMCK0qFevqT1.
openssl passwd -apr1 -salt xxxxxxxx password $apr1$xxxxxxxx$dxHfLAsjHkDRmG83UXe8K0

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

问题分析：

openssl TXT_DB error number 2 failed to update database

产生的缘由是:

This thing happens when certificates share common data. You cannot have two certificates that look otherwise the same.

方法一:

修改demoCA下 index.txt.attr

将

unique_subject = yes

改成

unique_subject = no

方法二:

删除demoCA下的index.txt,并再touch下

rm index.txt
touch index.txt