導航:首頁 > 證書轉讓 > opensslssl證書

opensslssl證書

發布時間:2022-12-28 04:15:45

『壹』 openssl 生成ssl證書 能不能用

用openssl生成的ssl證書也叫自簽名ssl證書,這種證書不建議使用,因為有很多弊端:

第一、被「有心者」利用。

其實「有心者」指的就是黑客。自簽名SSL證書你自己可以簽發,那麼同樣別人也可以簽發。黑客正好利用其隨意簽發性,分分鍾就能偽造出一張一模一樣的自簽證書來安裝在釣魚網站上,讓訪客們分不清孰真孰假。

第二、瀏覽器會彈出警告,易遭受攻擊

前面有提到自簽名SSL證書是不受瀏覽器信任的,即使網站安裝了自簽名SSL證書,當用戶訪問時瀏覽器還是會持續彈出警告,讓用戶體驗度大大降低。因它不是由CA進行驗證簽發的,所以CA是無法識別簽名者並且不會信任它,因此私鑰也形同虛設,網站的安全性會大大降低,從而給攻擊者可乘之機。

第三、安裝容易,吊銷難

自簽名SSL證書是沒有可訪問的吊銷列表的,所以它不具備讓瀏覽器實時查驗證書的狀態,一旦證書丟失或者被盜而無法吊銷,就很有可能被用於非法用途從而讓用戶蒙受損失。同時,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的警告,不僅降低了網頁的瀏覽速度,還大大降低了訪問者對網站的信任度。

第四、超長有效期,時間越長越容易被破解

自簽名SSL證書的有效期特別長,短則幾年,長則幾十年,想簽發多少年就多少年。而由受信任的CA機構簽發的SSL證書有效期不會超過2年,因為時間越長,就越有可能被黑客破解。所以超長有效期是它的一個弊端。

『貳』 如何創建一個自簽名的SSL證書

創建自簽名不會被瀏覽器信任,當然起不到SSL證書真正的加密,很隨意的被模仿或復制。
建議您淘寶:Gworg 獲取可信SSL證書。
創建自簽名證書的步驟

注意:以下步驟僅用於配置內部使用或測試需要的SSL證書。
第1步:生成私鑰
使用openssl工具生成一個RSA私鑰
$ openssl genrsa -des3 -out server.key 2048
說明:生成rsa私鑰,des3演算法,2048位強度,server.key是秘鑰文件名。
注意:生成私鑰,需要提供一個至少4位的密碼。
第2步:生成CSR(證書簽名請求)
生成私鑰之後,便可以創建csr文件了。
此時可以有兩種選擇。理想情況下,可以將證書發送給證書頒發機構(CA),CA驗證過請求者的身份之後,會出具簽名證書(很貴)。另外,如果只是內部或者測試需求,也可以使用OpenSSL實現自簽名,具體操作如下:

$ openssl req -new -key server.key -out server.csr
說明:需要依次輸入國家,地區,城市,組織,組織單位,Common Name和Email。其中Common Name,可以寫自己的名字或者域名,如果要支持https,Common Name應該與域名保持一致,否則會引起瀏覽器警告。

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:[email protected]

第3步:刪除私鑰中的密碼
在第1步創建私鑰的過程中,由於必須要指定一個密碼。而這個密碼會帶來一個副作用,那就是在每次Apache啟動Web伺服器時,都會要求輸入密碼,這顯然非常不方便。要刪除私鑰中的密碼,操作如下:

cp server.key server.key.org
openssl rsa -in server.key.org -out server.key

第4步:生成自簽名證書
如果你不想花錢讓CA簽名,或者只是測試SSL的具體實現。那麼,現在便可以著手生成一個自簽名的證書了。

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
說明:crt上有證書持有人的信息,持有人的公鑰,以及簽署者的簽名等信息。當用戶安裝了證書之後,便意味著信任了這份證書,同時擁有了其中的公鑰。證書上會說明用途,例如伺服器認證,客戶端認證,或者簽署其他證書。當系統收到一份新的證書的時候,證書會說明,是由誰簽署的。如果這個簽署者確實可以簽署其他證書,並且收到證書上的簽名和簽署者的公鑰可以對上的時候,系統就自動信任新的證書。
第5步:安裝私鑰和證書
將私鑰和證書文件復制到Apache的配置目錄下即可,在Mac 10.10系統中,復制到/etc/apache2/目錄中即可。
需要注意的是,在使用自簽名證書時,瀏覽器會提示證書不受信任,如果你是對外網站使用,建議還是去CA機構申請可信的SSL證書,現在證書也很便宜,Gworg SSL證書可以淘寶獲取。

『叄』 openssl 生成nginx永久ssl證書

1、SSL證書製作依靠openssl,首先檢查OpenSSL:一般centos7上默認裝好了

[root@zq testzq]# openssl version

OpenSSL 1.0.2k-fips  26 Jan 2017

2、生成私鑰和自簽名的SSL證書:

2.1、生成私鑰 ,參數genrsa:生成RSA私鑰;-des3:des3演算法;-out server.pass.key:生成的私鑰文件名;2048:私鑰長度

[root@zq testzq]# openssl genrsa -des3 -out server.pass.key 2048

Generating RSA private key, 2048 bit long molus

.............................................................+++

.......................+++

e is 65537 (0x10001)

Enter pass phrase for server.pass.key:

Verifying - Enter pass phrase for server.pass.key:                #輸入一個4位以上的密碼

[root@zqtestzq]# ll

-rw-r--r-- 1 root root 1751 1月  20 11:01 server.pass.key  #有密碼的私鑰文件

2.2、去除私鑰中的密碼

[root@zq testzq]# openssl rsa -in server.pass.key -out server.key

Enter pass phrase for server.pass.key:

writing RSA key

[root@zq testzq]# ll

-rw-r--r-- 1 root root 1679 1月  20 11:01 server.key            #無密碼的私鑰文件

-rw-r--r-- 1 root root 1751 1月  20 11:01 server.pass.key    #有密碼的私鑰文件

[root@zq testzq]# openssl genrsa -des3 -out server.pass.key 2048

Generating RSA private key, 2048 bit long molus

.............................................................+++

.......................+++

e is 65537 (0x10001)

Enter pass phrase for server.pass.key:

Verifying - Enter pass phrase for server.pass.key:                #輸入一個4位以上的密碼

[root@zqtestzq]# ll

-rw-r--r-- 1 root root 1751 1月  20 11:01 server.pass.key  #有密碼的私鑰文件

2.2、去除私鑰中的密碼

[root@zq testzq]# openssl rsa -in server.pass.key -out server.key

Enter pass phrase for server.pass.key:

writing RSA key

[root@zq testzq]# ll

-rw-r--r-- 1 root root 1679 1月  20 11:01 server.key            #無密碼的私鑰文件

-rw-r--r-- 1 root root 1751 1月  20 11:01 server.pass.key    #有密碼的私鑰文件

2.3、生成CSR(證書簽名請求文件)

[root@zq testzq]# openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Guangdong/L=Guangzhou/O=xdevops/OU=xdevops/CN=gitlab.xdevops.cn"

參數說明:# req 生成證書簽名請求   

                  # -new 新生成           

                  # -key 私鑰文件               

                  # -out 生成的CSR文件             

                  # -subj 生成CSR證書的參數

2.4、生成自簽名的SSL證書

[root@zq testzq]# openssl x509 -req -days 1825 -in server.csr -signkey server.key -out server.crt  #-days:證書有限期(天)

Signature ok

subject=/C=CN/ST=Guangdong/L=Guangzhou/O=xdevops/OU=xdevops/CN=gitlab.xdevops.cn

Getting Private key

[root@zq testzq]# ll

-rw-r--r-- 1 root root 1241 1月  20 11:00 server.crt            #自簽名的SSL證書

-rw-r--r-- 1 root root 1021 1月  20 11:00 server.csr            #簽名文件

-rw-r--r-- 1 root root 1679 1月  20 11:01 server.key            #無密碼的私鑰文件

-rw-r--r-- 1 root root 1751 1月  20 11:01 server.pass.key  #有密碼的私鑰文件nginx

server {

    listen      8443;

    ssl          on;

    ssl_certificate /home/testzq/server.crt;      #配置已簽名的SSL證書.crt

    ssl_certificate_key /home/testzq/server.key;  #配置已簽名的證書私鑰.key

    .............................................

server {

    listen      443;

    ssl          on;

    ssl_certificate /home/testzq/server.crt;

    ssl_certificate_key /home/testzq/server.key;

『肆』 openssl 生成ssl證書 能不能用

可以自己自用,但是面向全社會,是不行,因為根證書無法驗證你搞的自簽證書。推薦一個openssl
視頻教程,裡面有加密的使用,模擬CA簽發證書等,還講解了TLS/SSL協議的原理,以及在nginx等軟體上的部署調優。具體鏈接:網頁鏈接

『伍』 OpenSSL生成HTTPS自簽名證書

之前在Windows上有用Perl編譯過OpenSSL,不過只是要用它的兩個靜態庫,這次搭一個https server還要用它來生成自簽名證書,其中我的配置文件在openssl/apps/openssl.cnf,編譯後openssl.exe在openssl/out32/openssl.exe,編譯過程可以去網上查,資料還是挺多的。
OpenSSL默認載入配置文件路徑是 /usr/local/ssl/openssl.cnf ,因此在開始前需要先設定一下'OPENSSL_CONF'環境變數:

之後就可以根據自己的需求來生成密鑰和證書了,關於SSL/TLS原理此處也不多贅述,其中包含了多種非對稱加密、對稱加密演算法,下面將羅列生成CA、server、client三方證書的步驟,但對於只做單向鑒定的情況下client證書是不必要的。

過程都是相同的,先生成1024位的RSA私鑰,然後生成證書請求文件(.csr),csr文件經CA私鑰簽名後生成公鑰(即X.509證書),如果需要的話還可以再把它導出為其他格式比如PKCS#12證書(.p12)。

『陸』 用openssl 和 keytool 生成 SSL證書

SSL(Secure Sockets Layer (SSL) and Transport Layer Security (TLS))被設計為加強Web安全傳輸(HTTP/HTTPS/)的協議(事實上還有SMTP/NNTP等) ,默認使用443埠

openssl 適用范圍廣。

keytool 單獨針對 java application

數字證書是現代互聯網中個體間相互信任的基石。

如果沒有了數字證書,那麼也就沒有了各式各樣的電商平台以及方便的電子支付服務。目前我們所提到的數字證書都是基於 ITU 制定的 X.509 標准。

簡單來說,數字證書就是一張附帶了數字簽名的信息表。

x509證書一般會用到三類文件,key,csr,crt。

Key是私用密鑰,openssl格式,通常是rsa演算法。

csr是證書請求文件(certificate signing request),用於申請證書。在製作csr文件的時候,必須使用自己的私鑰來簽署申請,還可以設定一個密鑰。

crt是CA認證後的證書文件(certificate),簽署人用自己的key給你簽署的憑證。

CA根證書的生成步驟

生成CA私鑰(.key)-->生成CA證書請求(.csr)-->自簽名得到根證書(.crt)(CA給自已頒發的證書)。

本質上就是用私鑰去獲取證書,然後把這兩個文件一起放到server,以此來證明 我就是我

上面是互動式輸入,非交互的方式如下

自簽名是免費/測試的證書,瀏覽器默認不認可。

通常的方法是:提交CSR到證書公司(比如VeriSign,Inc),等對方發來證書。(當然這是要花錢的)

比如Nginx伺服器,把 ca.key 和 ca.crt 放到 /etc/nginx/certs 目錄。修改/etc/nginx/nginx.conf

重啟服務生效

引入一個概念:SAN

SAN stands for 「 Subject Alternative Names 」 and this helps you to have a single certificate for multiple CN (Common Name).

簡而言之,用SAN是為了省錢,一個證書給多個網址使用。如果用之前的交互方式來申請證書,根本沒有地方來輸入SAN,要解決這問題,需用到配置文件。

The entries in SAN certificate:

Create new Private Key and Certificate Signing Request

生成 private key 和 生成 CSR 合並成一步

例子

於是 ca.csr ca.key 都生成了,csr 用於申請證書。

Keytool 是一個Java數據證書的管理工具 , Keytool將密鑰(key)和證書(certificates)存在一個稱為keystore的文件中。

這是java專用方式,過程跟openssl 類似。

伺服器配置可以使用私鑰+證書合並在一起的文件,如jks或者pkcs12文件,這類文件一般叫key.keystore。(openssl使用兩個文件)

(openssl 自簽名參考上面)

測試階段,也可以用keytool 來實現自簽名(根據證書請求生成證書)。

用 jenkins 來舉例

查看單個證書

列出keystore存在的所有證書

使用別名查看keystore特定條目

刪除keystore裡面指定證書

更改keysore密碼

導出keystore裡面的指定證書

https://docs.oracle.com/javase/8/docs/technotes/tools/unix/keytool.html

『柒』 SSL證書怎麼安裝

生成CSR。在購買和安裝SSL證書之前,請先在伺服器上創建CSR文件。

『捌』 用openssl生成的ssl證書和付費的有什麼區別

用openssl生成的SSL證書即自簽名證書,存在安全隱患,而且不受瀏覽器信任。最好從正規第三方證書頒發機構去申請,還不用自己弄代碼那麼復雜,GDCA可以申請各類型SSL證書,免費付費的都有,看你需要。

『玖』 如何利用openssl為iis生成ssl伺服器證書

2.在要安加SSL服務的網站,右鍵打開網站屬性Table. 3.選取目錄安全中的伺服器證書. 4.進入生成伺服器證書請求的步驟中,一步步填寫相應的信息。每一步相應的信息要記住,這些信息在後面要用到。二、openssl操作: 1.生成私鑰。 openssl genrsa -des3 -out cakey.pem 2048 2.生成自簽名根證書. openssl req -new -x509 -key cakey.pem -out cacert.pem -days 1825
此處會要求輸入一些信息: Country Name: CN //兩個字母的國家代號 State or Province Name: guang dong //省份名稱 Locality Name: guang zhou //城市名稱 Organization Name: sunrising //公司名稱
Organizational Unit Name: home //部門名稱 Common Name: besunny //你的姓名(要是生成伺服器端的證書一定要輸入域名或者ip地址) 切記一定要和IIS伺服器上填寫的信息保持一致。 3.在你的openssl主目錄下的bin目錄下創建如下目錄: demoCA
demoCA/newcerts 在demoCA目錄下創建一個空的index.txt文件. 在demoCA目錄創建一個serial文件,文件內容為01 . 4.把第二步的生成的cakey.pem拷貝到 demoCA/private目錄下; 把cacert.pem 拷貝到demoCA目錄下. 5.用CA證書cacert.pem為IIS請求certreq.txt簽發證書。(將iis伺服器生成的certreq.txt存放在openssl/bin下面) openssl ca -in certreq.txt -out iis.cer 6.打開iis.cer,刪掉在"-- Begin Certificate --"的文本。 三.IIS伺服器操作: 在該網站屬性中目錄安全的伺服器證書 ,導入該證書。 四、測試是否SSL正常。 二、配置OpenSSL1、建立自己的CA證書在openssl的apps目錄下建立自己的CA證書,例如mageCAC:/openssl098b/apps>mkdir mageCA2、生成CA密鑰C:/openssl098b/apps>openssl genrsa -out mageCA/ca-key.pem 1024Genrsa[產生密鑰命令] –out[密鑰文件輸出路徑] 1024[密鑰位數]Loading 'screen' into random state - doneGenerating RSA private key, 1024 bit long molus..............................++++++......++++++3、生成待簽名的證書C:/openssl098b/apps>openssl req -new -out mageCA/ca-req.csr -key mageCA/ca-key.pemreq[產生證書命令]-new[新生成]-out[證書文件輸出路徑]-key[私鑰文件路徑]報錯:Using configuration from /usr/local/ssl/openssl.cnfUnable to load config infounable to find 'distinguished_name' in configproblems making Certificate Request2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:2188:error:0E06D06A:configurationfileroutines:NCONF_get_string:no conf or environment variable:./crypto/conf/conf_lib.c:344:出現這樣的問題後,打開了apps下的req查看DIAGNOSTICS: =head1 DIAGNOSTICSThe following messages are frequently asked about:? Using configuration from /some/path/openssl.cnf? Unable to load config infoThis is followed some time later by...? unable to find 'distinguished_name' in config? problems making Certificate RequestThe first error message is the clue: it can't find the configurationfile! Certain operations (like examining a certificate request) don'tneed a configurationfile so its use isn't enforced. Generation ofcertificates or requests however does need a configurationfile. Thiscould be regarded as a bug.依然不能解決問題,在網上搜索,被告知是環境變數沒有設置,於是設置系統用戶變數OPENSSL_CONF為C:/openssl098b/apps/openssl_cnf。重開一個命令行窗口,要求輸入一系列的信息,如國家、省、市、公司、部門、姓名、電子郵件等,命令執行完成。在設置了環境變數以後,一定要另開一個命令行窗口!一開始我就是沒有另開窗口,所以後來又耽誤了好多時間,不過,真是因為這個錯誤,我才搞清楚了openssl_cnf!至於openssl_cnf,笨笨的我還在apps下找了好半天,都沒有找到這個文件,後來被高手告知就是那個名為openssl的計算機圖標一樣的文件,是可以用寫字板打開的!狂暈!還有人說是在ssl目錄下,但是我的不是!

『拾』 什麼是自簽名SSL證書

自己生成的SSL證書,不是CA機構頒發的SSL證書,稱之為自簽名證書。

解釋原因:回

  1. 受信任的SSL證書:會答被瀏覽器信任認可,安全加密服務與安全掃描相關CA配套服務。
  2. 自簽署的SSL證書:不會被瀏覽器信任,數據被泄漏級劫持安全漏洞安全風險較高。

自簽名主要風險:

  1. 瀏覽器的地址欄會提示風險不安全網站。

  2. 小程序或APP無法應用與支持。

  3. 無法實現信用與介面交易行為。

  4. 網頁會被劫持,被強制插入廣告或跳轉到其它網頁。

  5. 用戶數據明文傳輸,隱私信息被中間劫持。

  6. 極容易被劫持和釣魚攻擊。

自簽名安全隱患:

  1. 自簽證書最容易受到SSL中間人攻擊

  2. 自簽證書支持不安全的SSL通信重新協商機制

  3. 自簽證書支持非常不安全的SSL V2.0協議

  4. 自簽證書沒有可訪問的吊銷列表

  5. 自簽證書使用不安全的1024位非對稱密鑰對

  6. 自簽證書證書有效期太長

  7. 自簽證書普遍存在嚴重的安全漏洞,極易受到攻擊

解決方法:Gworg申請可信SSL證書。

閱讀全文

與opensslssl證書相關的資料

熱點內容
馬鞍山市麻將館 瀏覽:609
sm2證書 瀏覽:655
汽車銷售投訴比 瀏覽:951
成果用的手機 瀏覽:673
商標注冊授權委託書 瀏覽:825
蘇州市專利代理人薪資水平 瀏覽:527
工商局幾號發工資 瀏覽:836
認繳年限多久合適 瀏覽:57
哇米諾商標注冊詳情 瀏覽:243
江發明被搶劫 瀏覽:770
上海信利商標代理有限公司怎麼樣 瀏覽:810
蘇州注冊商標公司地址 瀏覽:54
在淘寶如何投訴賣家 瀏覽:439
利川有中國版權保護中心 瀏覽:821
汕頭市潮南區工商局 瀏覽:704
杭州麥下商標事務所有限公司 瀏覽:3
志誠商標公司上班 瀏覽:160
出租土地使用權的稅率 瀏覽:139
日本商標注冊多少錢 瀏覽:75
商標注冊證天貓 瀏覽:326