使用openssl制作自签名HTTPS证书
在很多使用到证书的场景, 比如 HTTPS, 可以选择去申请一个免费的证书, 也可以尝试自签名证书, 申请免费证书请看:使用certbot自动申请ssl证书 或者 使用acme.sh来自动更新https证书, 本文介绍自签名证书.
可以直接使用我制作好的工具,支持自签名 HTTPS 证书和双向认证证书,纯 shell 脚本,支持 Docker 使用,一键生成证书:https://github.com/iuxt/my_cert
SSL 协议加密方式
SSL 协议即用到了对称加密也用到了非对称加密 (公钥加密),在建立传输链路时,SSL 首先对对称加密的密钥使用公钥进行非对称加密,链路建立好之后,SSL 对传输内容使用对称加密。
对称加密
速度高,可加密内容较大,用来加密会话过程中的消息。公钥加密
加密速度较慢,但能提供更好的身份认证技术,用来加密对称加密的密钥。
CA 证书
生成 CA 私钥
1 | openssl genrsa -out ca.key 4096 |
生成一个 ca.key 文件
生成 CA 证书
1 | openssl req -utf8 -new -x509 -days 3650 -key ca.key -out ca.crt -subj '/C=CN/ST=Shanghai/L=Pudong/O=iuxt/OU=张理坤/CN=www.i.com/emailAddress=iuxt@qq.com' |
1 | openssl req -utf8 -new -x509 -days 3650 -key ca.key -out ca.crt |
需要交互式输入:
| 提示 | 含义 | 输入内容 |
|---|---|---|
| Country Name | 国家 | CN |
| State or Province Name | 省 | Shanghai |
| Locality Name | 市 | 留空 |
| Organization Name | 组织名,公司名 | iuxt |
| Organizational Unit Name | 团体名 | 留空 |
| Common Name | 你的名字或域名 | zhanglikun |
| Email Address | 电子邮箱 | iuxt@qq.com |
就可以生成 ca.crt 文件, 这个文件需要加入到客户端的 受信任的根证书颁发机构
生成服务器 HTTPS 证书
生成 server 端的私钥
1 | openssl genrsa -out server.key 4096 |
生成 server 端证书请求
1 | openssl req -utf8 -new -key server.key -out server.csr -subj '/C=CN/ST=Shanghai/L=Pudong/O=iuxt/OU=张理坤/CN=*.i.com/emailAddress=iuxt@qq.com' |
1 | openssl req -utf8 -new -key server.key -out server.csr |
需要交互式输入:
| 提示 | 含义 | 输入内容 |
|---|---|---|
| Country Name | 国家 | CN |
| State or Province Name | 省 | Shanghai |
| Locality Name | 市 | 留空 |
| Organization Name | 组织名,公司名 | iuxt |
| Organizational Unit Name | 团体名 | 留空 |
| Common Name | 你的名字或域名 | 这里必须写域名或者 ip |
| Email Address | 电子邮箱 | iuxt@qq.com |
用 CA 私钥签发 server 的数字证书
解决 chrome 不受信任的问题,需要指定
SubjectAlternativeName
vim server.ext
1 | keyUsage = nonRepudiation, digitalSignature, keyEncipherment |
在里面填写证书绑定的 IP 和域名, 支持通配符
1 | openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 3650 -sha256 -extfile server.ext |
生成 server.crt 证书文件
将证书配置到 nginx
1 | server { |
配置客户端信任 CA 证书
使用自签名的证书的域名,客户端是不信任的, 除非客户端信任对应的自签名 CA 证书。
右键 cacert.crt 选择安装证书, 放进受信任的根证书颁发机构。
1 | sudo cp cacert.crt /usr/local/share/ca-certificates/ |
1 | sudo cp cacert.crt /etc/pki/ca-trust/source/anchors/ |
然后使用 curl 或 Chrome 浏览器等工具就受信任了。
其他
查看证书有效期
1 | openssl x509 -in cacert.crt -noout -dates |
Windows 删除证书
win + r 运行,输入 certmgr.msc 进入证书管理器。或者在开始菜单搜索 管理用户证书 进入。找到证书,右键删除即可。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 杂烩饭!
相关推荐
2025-07-11
Nginx配置双向认证
单项认证只需要服务器提供证书即可, 不验证客户端证书, 而双向认证需要验证服务器证书,也需要验证客户端证书, 不满足要求的客户端可以不允许其访问, 并且可以通过后期吊销证书的方式禁止其访问. 证书签名可以参考: 使用certbot自动申请ssl证书 使用acme.sh来自动更新https证书 制作和使用自签名证书 本文提到的 client.crt server.crt 都是通过 ca 签发的 服务器配置Nginx 配置: 1234567891011121314151617server { listen 443 ssl; server_name localhost; ssl_certificate ssl/server.crt; # 配置证书位置 ssl_certificate_key ssl/server.key; # 配置私钥位置 ssl_client_certificate ssl/ca.crt; # 客户端证书 ...
2025-07-18
使用openssl制作自签名双向认证证书
可以直接使用我制作好的工具,支持自签名 HTTPS 证书和双向认证证书,纯 shell 脚本,支持 Docker 使用,一键生成证书:https://github.com/iuxt/my_cert 双向认证用途是什么: 双向认证就是客户端需要携带证书来请求服务器,证书校验通过了才会正常返回。比如说我有个网站只有自己访问,就可以配置双向认证,自己电脑安装一下证书就可以访问,还可以通过吊销证书的方式来禁止对应的人访问网站。 CA 证书生成 CA 私钥1openssl genrsa -out ca.key 4096 生成一个 ca.key 文件 生成 CA 证书非交互式创建交互式创建1openssl req -utf8 -new -x509 -days 3650 -key ca.key -out ca.crt -subj '/C=CN/ST=Shanghai/L=Pudong/O=iuxt/OU=张理坤/CN=www.i.com/emailAddress=iuxt@qq.com'1openssl req -utf8 -new -x509 -days 3650...
2025-07-11
HTTPS的原理,使用HTTPS就一定是安全的吗?
HTTPS 是什么以前一直以为 HTTPS 是一种与 HTTP 类似的应用层协议,后来才发现 HTTPS 并不是一种协议。https 只是在 URI 中作为 protocol identifier 罢了。HTTPS 其实是 HTTP Over TLS( RFC2818 )的简称,也就是运行在 TLS 协议上的 HTTP 协议,使用 TLS 协议对 HTTP 数据进行加密,从而保证了安全性。 TLS 协议简介HTTPS 的核心就是 TLS 协议,那么 TLS 协议又是什么呢?TLS 的全称为 Transport Layer Security,也就是在传输层保证安全 RFC5246。主要分为以下四个协议: handshake protocol,用来建立连接、身份认证、密钥协商 alert protocol,用来关闭连接 change cipher spec protocol,用来表示开始使用协商好的加密方式进行数据传输 application data protocol,用来传输密文 TLS 协议中最重要的就是 handshake...
2025-07-18
P12格式证书与PEM格式转换
P12 证书是整合了公钥和私钥的,还可以给 P12 证书设置密码。 P12 转换为 PEM12345678# 提取证书openssl pkcs12 -in 1.p12 -clcerts -nokeys -out certificate.crt# 提取加密的私钥openssl pkcs12 -in 1.p12 -nocerts -out private_key.key# 提取未加密的私钥openssl pkcs12 -in 1.p12 -nocerts -nodes -out private_key.key 这种是加密的 PEM 私钥 123-----BEGIN ENCRYPTED PRIVATE KEY-----...-----END ENCRYPTED PRIVATE KEY----- 也可以将加密的 PEM 私钥转换成未加密的 PEM 私钥 1openssl rsa -in encrypt.key -out nopassword.key 未加密的 PEM 私钥长这样 123-----BEGIN PRIVATE KEY-----...-----END PRIVATE...
2025-05-22
使用acme.sh来自动更新https证书
使用 acme.sh 可以自动申请 let’s encrypt 证书,并且可以自动配置到 nginx,整个过程可以全自动。也可以使用 certbot,certbot 基于 acme.sh使用certbot自动申请ssl证书 安装推荐安装 socat 1sudo apt install socat 安装 acme.sh 1curl https://get.acme.sh | sh 退出终端,重新登陆后,执行 acme.sh 有输出,说明安装成功了。 配置邮箱1acme.sh --register-account -m "iuxt@qq.com" 配置默认 CA新版默认 zerossl,也可以手动切换为 let’s encrypt 12# acme.sh --set-default-ca --server letsencrypt# acme.sh --set-default-ca --server zerossl 申请证书acme.sh 实现了 acme 协议支持的所有验证协议.一般有两种方式验证: http 和 dns 验证. 使用 dns api...
2025-07-11
使用certbot自动申请ssl证书
certbot 可以自动申请 let’s encrypt https 证书, 并且可以自动续期,另见:使用acme.sh来自动更新https证书 申请证书前准备添加 DNS 解析域名为你需要申请 https 证书的域名,添加 A 记录到服务器 IP 安装 certbot 和 certbot nginx plugin12sudo apt install certbotsudo apt install python3-certbot-nginx 申请证书1sudo certbot --non-interactive --redirect --agree-tos --nginx -d password.zahui.fan -m captain@zahui.fan 以上操作除了申请证书外,还可以自动添加 https 配置到 nginx,很方便。 证书续期1sudo certbot renew 添加到 root 用户的 crontab 里面就可以实现自动续期,距离到期时间太长会自动跳过续期 删除证书1sudo certbot delete
评论
公告
此博客为我记录运维工作总结所用,供网友阅读参考,如有侵权,请通知我,我会核实后进行处理。
欢迎加入技术交流群:
