SSL证书生成流程

简介: SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。

SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socketlayer(SSL),SSL安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
    SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://www.baidu.com”。

一:什么是x509证书链

x509证书一般会用到三类文件,key,csr,crt。
Key是私用密钥,openssl格式,通常是rsa算法。
csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。

二:概念

    首先要有一个CA根证书,然后用CA根证书来签发用户证书。
    用户进行证书申请:一般先生成一个私钥,然后用私钥生成证书请求(证书请求里应含有公钥信息),再利用证书服务器的CA根证书来签发证书。
    特别说明:
(1)自签名证书(一般用于顶级证书、根证书): 证书的名称和认证机构的名称相同.
(2)根证书:根证书是CA认证中心给自己颁发的证书,是信任链的起始点。任何安装CA根证书的服务器都意味着对这个CA认证中心是信任的。
    数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。数字证书包含证书中所标识的实体的公钥(就是说你的证书里有你的公钥),由于证书将公钥与特定的个人匹配,并且该证书的真实性由颁发机构保证(就是说可以让大家相信你的证书是真的),因此,数字证书为如何找到用户的公钥并知道它是否有效这一问题提供了解决方案。

三:openssl中有如下后缀名的文件

.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式

四:下载SSL证书生成生成包

链接:http://pan.baidu.com/s/1qYUIP2k

密码:zn9z

五:CA根证书的生成步骤

生成CA私钥(.key)-->生成CA证书请求(.csr)-->自签名得到根证书(.crt)(CA给自已颁发的证书)。

解压安装包

#unzip openssl-1.0.0e.zip

当前目录及目录下所有的文件赋予可读可写可执行权限

#chmod 777 -R openssl-1.0.0e

# cd openssl-1.0.0e/

将你要安装的程序装到目录/home/blave/openssl

#./config --prefix=/home/blave/openssl     

生成服务器端的私钥 (key 文件)

#openssl genrsa -out server.key 1024

生成服务器端证书签名请求文件 (csr 文件)

#openssl req -new -key server.key -out server.csr

自定义区域

Country Name (2 letter code) [XX]:CN----------------------------------- 证书持有者所在国家

State or Province Name (full name) []:BJ------------------------------- 证书持有者所在州或省份(可省略不填)

Locality Name (eg, city) []:BJ----------------------------------------- 证书持有者所在城市(可省略不填)

Organization Name (eg, company) []:NH---------------------------------- 证书持有者所属组织或公司Organizational Unit Name (eg, section) []:.---------------------------- 证书持有者所属部门(可省略不填)

Common Name (eg, your name or your server's hostname) []:ceshi.com----- 域名

Email Address []:------------------------------------------------------ 邮箱(可省略不填)

challenge password:............................................................自定义密码

An optional company name.............................................可选公司名称

生成证书文件 (crt 文件)

# openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

执行完后查看openssl-1.0.0e发现有server.crtserver.key 两个文件

 

在实际的软件开发工作中,往往服务器就采用这种自签名的方式,因为毕竟找第三方签名机构是要给钱的,也是需要花时间的。

六:用户证书的生成步骤

生成私钥(.key)-->生成证书请求(.csr)-->用CA根证书签名得到证书(.crt)
服务器端用户证书:

  1. # private key  
    $openssl genrsa -des3 -out server.key 1024   
    # generate csr  
    $openssl req -new -key server.key -out server.csr  
    # generate certificate  
    $openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key  

     

客户端用户证书:

  1. $openssl genrsa -des3 -out client.key 1024   
    $openssl req -new -key client.key -out client.csr  
    $openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key  

生成pem格式证书: 
有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成 

$cat client.crt client.key> client.pem 

$cat server.crt server.key > server.pem

 

七:结果:

服务端证书:ca.crt, server.key, server.crt, server.pem

客户端证书:ca.crt, client.key, client.crt, client.pem

 

注意:

在执行$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key时可能会出错:

Using configuration from /usr/share/ssl/openssl.cfg I am unable to access the ./demoCA/newcerts directory ./demoCA/newcerts: No such file or directory 

解决方法:

1)mkdir -p ./demoCA/newcerts 
2)touch demoCA/index.txt 
3)touch demoCA/serial 
4)echo 01 > demoCA/serial

目录
相关文章
|
11月前
|
域名解析 网络协议 算法
国内免费SSL证书申请首选阿里云(申请入口及流程)
国内免费SSL证书申请首选阿里云(申请入口及流程)阿里云SSL免费证书在哪申请?一个阿里云账号一年可以申请20张免费SSL证书,很多同学找不到免费SSL的入口,阿小云来详细说下阿里云SSL证书免费申请入口链接以及免费SSL证书申请流程
250 0
|
11月前
|
域名解析 网络协议 算法
2023最新教程:阿里云免费SSL证书申请流程
2023最新教程:阿里云免费SSL证书申请流程,阿里云SSL免费证书在哪申请?一个阿里云账号一年可以申请20张免费SSL证书,很多同学找不到免费SSL的入口,阿小云来详细说下阿里云SSL证书免费申请入口链接以及免费SSL证书申请流程
560 0
|
9天前
|
安全 应用服务中间件 网络安全
阿里云ssl证书简介和使用流程
本文介绍了如何在阿里云获取和部署SSL证书以增强网站安全性。首先,需要注册阿里云账号并完成实名认证,接着注册和备案域名。然后,通过阿里云购买适合的SSL证书,如CFCA通配符OV证书,并下载证书文件。在Nginx或Tengine服务器上,解压缩证书,编辑Nginx配置文件,将证书和私钥文件路径添加到配置中,并重启Nginx服务以应用更改。阿里云SSL证书提供强大的加密、身份验证和SEO优势,确保网站安全并提升用户信任度。
|
2月前
|
Kubernetes 网络安全 容器
Cert Manager 申请 SSL 证书流程及相关概念 - 一
Cert Manager 申请 SSL 证书流程及相关概念 - 一
|
2月前
|
存储 Kubernetes 网络协议
Cert Manager 申请 SSL 证书流程及相关概念 - 二
Cert Manager 申请 SSL 证书流程及相关概念 - 二
|
9月前
|
安全 网络安全 数据安全/隐私保护
阿里云ssl证书简介和购买流程
阿里云SSL证书是一种用于保护网站和应用程序的安全性的数字证书。在当今信息技术高速发展的时代,保护用户的隐私和数据的安全变得越来越重要。阿里云SSL证书提供了一种安全的加密通信方式,通过在客户端和服务器之间建立安全的连接,确保用户的数据传输是经过加密的,以防止敏感信息被恶意第三方截取。
|
11月前
|
域名解析 网络协议 算法
2023阿里云申请免费SSL证书最新流程
2023阿里云申请免费SSL证书最新流程,阿里云SSL免费证书在哪申请?一个阿里云账号一年可以申请20张免费SSL证书,很多同学找不到免费SSL的入口,阿小云来详细说下阿里云SSL证书免费申请入口链接以及免费SSL证书申请流程
268 1
|
11月前
|
域名解析 网络协议 算法
阿里云SSL证书免费申请入口及申请流程开启HTTPS
阿里云SSL证书免费申请入口及申请流程开启HTTPS,阿里云SSL免费证书在哪申请?一个阿里云账号一年可以申请20张免费SSL证书,很多同学找不到免费SSL的入口,阿小云来详细说下阿里云SSL证书免费申请入口链接以及免费SSL证书申请流程
403 0
|
域名解析 安全 小程序
阿里云平台申请SSL证书类型、申请流程、价格等常见问题解答
SSL证书是很多用户上云过程中比不可少的安全类云产品,SSL证书常见的应用场景有站点应用、移动应用、代码应用、电子邮件应用等,使用SSL证书可以加密网站和客户端之间的通信,防止数据在传输过程中被篡改,避免信息泄露。阿里云提供了多种品牌和类型的证书。
1168 0
阿里云平台申请SSL证书类型、申请流程、价格等常见问题解答
|
网络协议 数据建模 应用服务中间件
2020阿里云免费SSL证书申请方法流程(图文教程)
阿里云免费SSL证书是Symantec品牌的,新手站长网分享阿里云SSL证书免费申请方法
21255 1
2020阿里云免费SSL证书申请方法流程(图文教程)