openssl自签名证书与私有CA签名证书有区别,本文只讲openssl自签名证书的操作教程,请勿混淆影响理解。
- 1)openssl自签名单域名证书
- 2)openssl自签名泛域名、多域名证书
1)openssl自签名单域名证书
自签名证书一共三个步骤,1.生成非对称密钥 2.创建证书请求ref="https://xwenw.com/tag/%e6%96%87%e4%bb%b6" target="_blank">文件 3.自签名证书
##新建一个文件夹,cd到此文件夹,后续操作生成的文件,使用的文件均在次文件夹下。 1.生成非对称密钥 //rsa密钥生成 openssl genrsa -out rsa.key 2048 //查看密钥 openssl rsa -text -in rsa.key //导出公钥 openssl rsa -in rsa.key -pubout -out rsa-public.key
2.创建证书的签名文件csr //创建csr文件 openssl req -new -key rsa.key -out rsa.csr //Common Name :www.example.com //CommonName为证书颁发给的域名,一定要填写正确 //其他选项符合输入条件的情况下可随意填写,如果国家CN,省份GD,城市guangzhou等 //查看csr文件 openssl req -text -in rsa.csr -noout
3.自签名证书 openssl x509 -req -days 365 -in rsa.csr -signkey rsa.key -out rsa_example.cer //也可根据使用情况生成crt格式的文件,如rsa_example.crt
2)openssl自签名泛域名、多域名证书
如何生成泛域名证书和多域名证书呢?
a.泛域名证书在csr文件创建的时候,在Common Name选项输入 *.example.com即可
多域名证书又是什么呢?如下图,我的自签名证书是颁发给*.orcy.net的然而orcy.top的域名依然可以使用,这又是如果做到的呢?
这是因为我在创建csr文件、自签名证书的时候添加了使用者可选名称如下图,此证书颁发后所有的可选名均可使用,如淘宝,ETAO等大型多域名网站均采用此种方式。
b.自签多域名证书
1.生成非对称密钥,如单域名证书
2.新建md.cnf文件,从opessl.cnf中复制相关字段到md.cnf并修改 [req] prompt = no distinguished_name = dn365 req_extensions = ext [dn] CN = www.example.com emailAddress = example@example.com O = example L = guangzhou ST = GD C = CN [ext] subjectAltName = DNS:www.1111.com,DNS:www.2222.com,DNS:www.3333.com,IP:192.168.1.1
//使用md.cnf创建csr文件 openssl req -new -config md.cnf -key md.key -out md.csr
3.自签名多域名证书 //新建md.ext文件,写入以下内容 subjectAltName = DNS:www.1111.com,DNS:www.2222.com,DNS = www.3333.com,IP:192.168.1.1 //内容和生成csr文件时的md.cnf文件一致 //使用md.ext文件自签名证书 openssl x509 -req -days 365 -in md.csr -signkey md.key -out md.der -extfile md.ext
#附一张我自签发成功,部署在nginx的实例:
#后续更新openssl私有CA签名证书操作教程,留一个传送门《openssl私有CA签名证书教程》
声明:本站所有文章,如无特殊说明或标注,均为本站原创发布。任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。
评论(0)