关于自签名证书的那些事 自签名证书生成工具
lipiwang 2024-10-20 10:12 24 浏览 0 评论
工作中有些Web站点部署在公司内部服务器,访问者也都是公司的同事。为了配置https安全访问,可以使用自签名证书或私有CA签名证书。
如果有很多的内部域名需要实现https的访问,最好配置一个私有的CA,如果仅有一两个域名,直接使用自签名证书更方便些。
自签名证书和CA签名证书的区别:
- 自签名证书不能被吊销,如果证书私钥泄露,你需要重新生成新的证书和私钥并配置到Web服务器上
- 如果有多个自签名证书,为了建立客户端的信任,每个证书都需要在客户端完成安装。如果采用CA签名证书的方式,每个客户端只需要安装CA的证书即可,该CA签名的证书,客户端都将信任
本文仅介绍自签名证书的生成和使用。
- 生成自签名证书
使用Linux自带的openssl命令,如下:
openssl \
req \
-newkey rsa:2048 \
-nodes \
-keyout key.pem \
-x509 -days 365 -out cert.pem \
-subj "/C=CN/ST=Guangdong/L=Shenzhen/O=CompanyName/OU=IT/CN=www.example.com/emailAddress=email@example.com"重要参数解释:
- -newkey,这个选项会生成新的CSR(证书签名请求)和新的私钥
- -nodes,产生的私钥不用加密,不会弹出输入密码的提示
- -subj,指定证书的Subject Name,如果是域名证书,保证CN为站点域名即可
上面命令执行后,当前目录将生成域名证书和对应的私钥,
[aneirin@host-1~]$ls -lh
-rw-rw-r-- 1 aneirin aneirin 1.5K Jun 23 14:43 cert.pem
-rw-rw-r-- 1 aneirin aneirin 1.7K Jun 23 14:43 key.pem- 测试自签名证书
通过上面命令就可以生成自签名证书和私钥。如何测试证书是否可以正常使用,依赖Python的Flask模块即可(如果没有安装,使用pip提前安装),运行下面代码:
from flask import Flask
Flask(__name__).run(ssl_context=('cert.pem', 'key.pem'))运行上面脚本后,Flask将启动一个Web服务,并监听在服务器环回接口的端口5000上,
[aneirin@host-1~]$sudo ss -tnlp | grep 5000
LISTEN 0 128 127.0.0.1:5000 *:* users:(("python",pid=19906,fd=3))使用curl测试,
[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
* Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Server certificate:
* subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* start date: Jun 23 06:43:18 2021 GMT
* expire date: Jun 23 06:43:18 2022 GMT
* common name: www.example.com
* issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html
......因为证书是自签名的,curl并不信任这个证书,可以配置服务器让其信任该证书,
[aneirin@host-1~]$sudo cp cert.pem /etc/pki/ca-trust/source/anchors/selfsign-cert.pem
[aneirin@host-1~]$sudo update-ca-trust备注:服务器操作系统为“CentOS Linux release 7.9.2009 (Core)”
再次运行上面的命令:
[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
* Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* start date: Jun 23 06:43:18 2021 GMT
* expire date: Jun 23 06:43:18 2022 GMT
* common name: www.example.com
* issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
> HEAD / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: www.example.com:5000
> Accept: */*
>
* HTTP 1.0, assume close after body
< HTTP/1.0 404 NOT FOUND
HTTP/1.0 404 NOT FOUND
< Content-Type: text/html; charset=utf-8
Content-Type: text/html; charset=utf-8
< Content-Length: 232
Content-Length: 232
< Server: Werkzeug/2.0.1 Python/3.6.8
Server: Werkzeug/2.0.1 Python/3.6.8
< Date: Wed, 23 Jun 2021 07:16:39 GMT
Date: Wed, 23 Jun 2021 07:16:39 GMT
<
* Closing connection 0可以看到自签名证书已经可以正常使用。
是不是自签名证书可以从curl返回的结果一眼看出来:键“issuer”和“subject”一模一样的证书就是自签名证书,可以看到,我们的证书是自签名证书。
- 总结
本文对自签名证书的生成和使用做了介绍。生成自签名域名证书时,特别注意CN的值是域名即可。有些证书可以包含多个域名,这时需要配置“ X509v3 Subject Alternative Name”。通过私有CA生成域名证书,可以参考简便的HTTPS证书生成工具-CFSSL。
希望这篇文章能帮到正在努力的你,欢迎点赞,评论!
相关推荐
- 一个简单便捷搭建个人知识库的开源项目(MDwiki)
-
这里我通过自动翻译软件,搬运总结MDwiki官网的部署和使用方法。第一步:下载编译好的后MDwiki文件,只有一个HTML文件“mdwiki.html”。第二步:在mdwiki.html同级目录创建“...
- 强大、简洁、快速、持续更新 PandaWiki新一代 AI 驱动的开源知识库
-
PandaWiki是什么PandaWiki是一款AI大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供AI创作、AI问答...
- DeepWiki-Open: 开源版Deepwiki,可自己构建github文档库
-
Deepwiki是Devin团队开发的github文档库,用户能免费使用,但代码不是开源,而DeepWiki-Open侧是开源版本的实现。DeepWiki-Open旨在为GitHub和GitLa...
- 最近爆火的wiki知识管理开源项目PandaWiki
-
项目介绍PandaWiki是一款AI大模型驱动的开源知识库搭建系统,帮助你快速构建智能化的产品文档、技术文档、FAQ、博客系统,借助大模型的力量为你提供AI创作、AI问答、AI搜索等...
- 轻量级开源wiki系统介绍(轻量开源论坛系统)
-
wiki系统有很多DokuWiki、MediaWiki、MinDoc等等都是开源的wiki系统。商业版的wiki,像很多企业在用的confluence等。今天我们讲的是一款轻量级且开源的文档管理系统:...
- DNS解析错误要怎么处理(dns解析状态异常怎么办)
-
在互联网时代,网络已经成为人们生活和工作中不可或缺的一部分。然而,当遇到DNS解析错误时,原本畅通无阻的网络访问会突然陷入困境,让人感到十分困扰。DNS,即域名系统,它如同互联网的电话簿,将人们易于...
- 网页加载慢?这些方法让你秒开网页!
-
打开浏览器,信心满满地准备查资料、看视频或者追剧,却发现网页怎么都打不开!是不是瞬间感觉手足无措?别慌,这个问题其实挺常见,而且解决起来并没有你想象的那么复杂。今天就来聊聊网页打不开究竟是怎么回事,以...
- windows11 常用CMD命令大全(windows11msdn)
-
Windows11中的命令提示符(CMD)是一个强大的工具,可以通过命令行执行各种系统操作和管理任务。以下是一些常用的CMD命令,按功能分类整理,供你参考:一、系统信息与状态systeminfo显...
- 电脑提示DNS服务器未响应怎么解决?
-
我们在使用电脑的时候经常会遇到各种各样的网络问题,例如最近就有Win11电脑用户在使用的时候遇到了DNS未响应的问题,遇到这种情况我们应该怎么解决呢? 方法一:刷新DNS缓存 1、打开运行(W...
- 宽带拨号错误 651 全解析:故障定位与修复方案
-
在使用PPPoE拨号连接互联网时,错误651提示「调制解调器或其他连接设备报告错误」,通常表明从用户终端到运营商机房的链路中存在异常。以下从硬件、系统、网络三层维度展开排查:一、故障成因分类图...
- 如何正确清除 DNS 缓存吗?(解决你访问延时 )
-
DNS缓存是一个临时数据库,用于存储有关以前的DNS查找的信息。换句话说,每当你访问网站时,你的操作系统和网络浏览器都会保留该域和相应IP地址的记录。这消除了对远程DNS服务器重复查询的...
- 网络配置命令:ipconfig和ifconfig,两者有啥区别?
-
在计算机网络的世界里,网络接口就像是连接你电脑和外部网络的桥梁,而网络配置则是确保这座桥梁稳固、通信顺畅的关键。提到网络配置工具,ipconfig和ifconfig绝对是两个绕不开的名字。它们一...
- 救急的命令 你会几个?(救急一下)
-
很多人都说小编是注册表狂魔,其实不完全是,小编常用的命令行才是重点。其实所谓的命令行都是当初DOS时代的标准操作方式,随着Windows不断演化,DOS的命令早已成为Windows的一部分了——开始菜...
- 电脑有网却访问不了GitHub原来是这样
-
当满心欢喜打开电脑,准备在GitHub这个“开源宝藏库”里挖掘点超酷的项目,却遭遇了网页无法访问的尴尬。看着屏幕上那令人无奈的提示,原本高涨的热情瞬间被泼了一盆冷水,是不是感觉世界都不美好了...
- rockstargames更新慢| r星更新速度 怎么办 解决办法
-
rockstargames更新慢|r星更新速度怎么办解决办法说到RockstarGames,那可是游戏界的大佬,作品个顶个的经典。但话说回来,每当新内容更新时,那蜗牛般的下载速度,真是让人急得...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- maven镜像 (69)
- undefined reference to (60)
- zip格式 (63)
- oracle over (62)
- date_format函数用法 (67)
- 在线代理服务器 (60)
- shell 字符串比较 (74)
- x509证书 (61)
- localhost (65)
- java.awt.headless (66)
- syn_sent (64)
- settings.xml (59)
- 弹出窗口 (56)
- applicationcontextaware (72)
- my.cnf (73)
- httpsession (62)
- pkcs7 (62)
- session cookie (63)
- java 生成uuid (58)
- could not initialize class (58)
- beanpropertyrowmapper (58)
- word空格下划线不显示 (73)
- jar文件 (60)
- jsp内置对象 (58)
- makefile编写规则 (58)