百度360必应搜狗淘宝本站头条
shell 字符串比较my.cnfword空格下划线不显示applicationcontextawaremaven镜像
当前位置:网站首页 > 技术资源 > 正文

关于自签名证书的那些事 自签名证书生成工具

lipiwang 2024-10-20 10:12 20 浏览 0 评论

工作中有些Web站点部署在公司内部服务器,访问者也都是公司的同事。为了配置https安全访问,可以使用自签名证书或私有CA签名证书。

如果有很多的内部域名需要实现https的访问,最好配置一个私有的CA,如果仅有一两个域名,直接使用自签名证书更方便些。

自签名证书和CA签名证书的区别:

  • 自签名证书不能被吊销,如果证书私钥泄露,你需要重新生成新的证书和私钥并配置到Web服务器上
  • 如果有多个自签名证书,为了建立客户端的信任,每个证书都需要在客户端完成安装。如果采用CA签名证书的方式,每个客户端只需要安装CA的证书即可,该CA签名的证书,客户端都将信任

本文仅介绍自签名证书的生成和使用。

  • 生成自签名证书

使用Linux自带的openssl命令,如下:

openssl  \
  req \
  -newkey rsa:2048 \
  -nodes \
  -keyout key.pem \
  -x509 -days 365 -out cert.pem \
  -subj "/C=CN/ST=Guangdong/L=Shenzhen/O=CompanyName/OU=IT/CN=www.example.com/emailAddress=email@example.com"

重要参数解释:

  • -newkey,这个选项会生成新的CSR(证书签名请求)和新的私钥
  • -nodes,产生的私钥不用加密,不会弹出输入密码的提示
  • -subj,指定证书的Subject Name,如果是域名证书,保证CN为站点域名即可

上面命令执行后,当前目录将生成域名证书和对应的私钥,

[aneirin@host-1~]$ls -lh
-rw-rw-r-- 1 aneirin aneirin 1.5K Jun 23 14:43 cert.pem
-rw-rw-r-- 1 aneirin aneirin 1.7K Jun 23 14:43 key.pem
  • 测试自签名证书

通过上面命令就可以生成自签名证书和私钥。如何测试证书是否可以正常使用,依赖Python的Flask模块即可(如果没有安装,使用pip提前安装),运行下面代码:

from flask import Flask
Flask(__name__).run(ssl_context=('cert.pem', 'key.pem'))

运行上面脚本后,Flask将启动一个Web服务,并监听在服务器环回接口的端口5000上,

[aneirin@host-1~]$sudo ss -tnlp | grep 5000
LISTEN     0      128    127.0.0.1:5000                     *:*                   users:(("python",pid=19906,fd=3))

使用curl测试,

[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
*   Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* Server certificate:
* 	subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* 	start date: Jun 23 06:43:18 2021 GMT
* 	expire date: Jun 23 06:43:18 2022 GMT
* 	common name: www.example.com
* 	issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html
......

因为证书是自签名的,curl并不信任这个证书,可以配置服务器让其信任该证书,

[aneirin@host-1~]$sudo cp cert.pem /etc/pki/ca-trust/source/anchors/selfsign-cert.pem
[aneirin@host-1~]$sudo update-ca-trust

备注:服务器操作系统为“CentOS Linux release 7.9.2009 (Core)”

再次运行上面的命令:

[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
*   Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* 	subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* 	start date: Jun 23 06:43:18 2021 GMT
* 	expire date: Jun 23 06:43:18 2022 GMT
* 	common name: www.example.com
* 	issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
> HEAD / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: www.example.com:5000
> Accept: */*
> 
* HTTP 1.0, assume close after body
< HTTP/1.0 404 NOT FOUND
HTTP/1.0 404 NOT FOUND
< Content-Type: text/html; charset=utf-8
Content-Type: text/html; charset=utf-8
< Content-Length: 232
Content-Length: 232
< Server: Werkzeug/2.0.1 Python/3.6.8
Server: Werkzeug/2.0.1 Python/3.6.8
< Date: Wed, 23 Jun 2021 07:16:39 GMT
Date: Wed, 23 Jun 2021 07:16:39 GMT

< 
* Closing connection 0

可以看到自签名证书已经可以正常使用。

是不是自签名证书可以从curl返回的结果一眼看出来:键“issuer”和“subject”一模一样的证书就是自签名证书,可以看到,我们的证书是自签名证书。

  • 总结

本文对自签名证书的生成和使用做了介绍。生成自签名域名证书时,特别注意CN的值是域名即可。有些证书可以包含多个域名,这时需要配置“ X509v3 Subject Alternative Name”。通过私有CA生成域名证书,可以参考简便的HTTPS证书生成工具-CFSSL

希望这篇文章能帮到正在努力的你,欢迎点赞,评论!

相关推荐

前端入门——css 网格轨道详细介绍

上篇前端入门——cssGrid网格基础知识整体大概介绍了cssgrid的基本概念及使用方法,本文将介绍创建网格容器时会发生什么?以及在网格容器上使用行、列属性如何定位元素。在本文中,将介绍:...

Islands Architecture(孤岛架构)在携程新版首页的实践

一、项目背景2022,携程PC版首页终于迎来了首次改版,完成了用户体验与技术栈的全面升级。作为与用户连接的重要入口,旧版PC首页已经陪伴携程走过了22年,承担着重要使命的同时,也遇到了很多问题:维护/...

HTML中script标签中的那些属性

HTML中的<script>标签详解在HTML中,<script>标签用于包含或引用JavaScript代码,是前端开发中不可或缺的一部分。通过合理使用<scrip...

CSS 中各种居中你真的玩明白了么

页面布局中最常见的需求就是元素或者文字居中了,但是根据场景的不同,居中也有简单到复杂各种不同的实现方式,本篇就带大家一起了解下,各种场景下,该如何使用CSS实现居中前言页面布局中最常见的需求就是元...

CSS样式更改——列表、表格和轮廓

上篇文章主要介绍了CSS样式更改篇中的字体设置Font&边框Border设置,这篇文章分享列表、表格和轮廓,一起来看看吧。1.列表List1).列表的类型<ulstyle='list-...

一文吃透 CSS Flex 布局

原文链接:一文吃透CSSFlex布局教学游戏这里有两个小游戏,可用来练习flex布局。塔防游戏送小青蛙回家Flexbox概述Flexbox布局也叫Flex布局,弹性盒子布局。它决定了...

css实现多行文本的展开收起

背景在我们写需求时可能会遇到类似于这样的多行文本展开与收起的场景:那么,如何通过纯css实现这样的效果呢?实现的难点(1)位于多行文本右下角的展开收起按钮。(2)展开和收起两种状态的切换。(3)文本...

css 垂直居中的几种实现方式

前言设计是带有主观色彩的,同样网页设计中的css一样让人摸不头脑。网上列举的实现方式一大把,或许在这里你都看到过,但既然来到这里我希望这篇能让你看有所收获,毕竟这也是前端面试的基础。实现方式备注:...

WordPress固定链接设置

WordPress设置里的最后一项就是固定链接设置,固定链接设置是决定WordPress文章及静态页面URL的重要步骤,从站点的SEO角度来讲也是。固定链接设置决定网站URL,当页面数少的时候,可以一...

面试发愁!吃透 20 道 CSS 核心题,大厂 Offer 轻松拿

前端小伙伴们,是不是一想到面试里的CSS布局题就发愁?写代码时布局总是对不齐,面试官追问兼容性就卡壳,想跳槽却总被“多列等高”“响应式布局”这些问题难住——别担心!从今天起,咱们每天拆解一...

3种CSS清除浮动的方法

今天这篇文章给大家介绍3种CSS清除浮动的方法。有一定的参考价值,有需要的朋友可以参考一下,希望对大家有所帮助。首先,这里就不讲为什么我们要清楚浮动,反正不清除浮动事多多。下面我就讲3种常用清除浮动的...

2025 年 CSS 终于要支持强大的自定义函数了?

大家好,很高兴又见面了,我是"高级前端进阶",由我带着大家一起关注前端前沿、深入前端底层技术,大家一起进步,也欢迎大家关注、点赞、收藏、转发!1.什么是CSS自定义属性CSS自...

css3属性(transform)的一个css3动画小应用

闲言碎语不多讲,咱们说说css3的transform属性:先上效果:效果说明:当鼠标移到a标签的时候,从右上角滑出二维码。实现方法:HTML代码如下:需要说明的一点是,a链接的跳转需要用javasc...

CSS基础知识(七)CSS背景

一、CSS背景属性1.背景颜色(background-color)属性值:transparent(透明的)或color(颜色)2.背景图片(background-image)属性值:none(没有)...

CSS 水平居中方式二

<divid="parent"><!--定义子级元素--><divid="child">居中布局</div>...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表