在Linux下如何根據域名自簽發OpenSSL證書與常用證書轉換
在Linux下如何根據域名自簽發各種SSL證照,這裡我們以Apache、Tomcat、Nginx為例。
openssl自簽發泛域名(萬用字元)證照
首先要有openssl工具,如果沒有那麼使用如下命令安裝:
yum install -y openssl openssl-devel
修改openssl.cnf配置檔案
具體修改如下
[root@docker02 ~]# vim /etc/pki/tls/openssl.cnf
[ req ]
………………
# 將如下配置的註釋放開
req_extensions = v3_req # The extensions to add to a certificate request
………………
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
# 新增如下行
subjectAltName = @SubjectAlternativeName
# 同時增加如下資訊
[SubjectAlternativeName]
DNS.1 = zhangbook.com
DNS.2 = *.zhangbook.com
說明:本次我們以 *.zhangbook.com 泛域名為例。
建立根證照
[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]#
## 建立CA私鑰
[root@docker02 ssl]# openssl genrsa -out CA.key 2048
## 製作CA公鑰
[root@docker02 ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf
………………
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:BTC
Organizational Unit Name (eg, section) []:MOST
Common Name (eg, your name or your server's hostname) []:Light Zhang # 這裡就是證照上的:頒發者
Email Address []:ca@test.com
當然上述的公鑰製作方式需要互動式輸入資訊,如果不想頻繁輸入,那麼可以使用如下命令:
## 免互動式製作CA公鑰
openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=Light Zhang/emailAddress=ca@test.com"
subj內容詳解:
C = Country Name (2 letter code)
ST = State or Province Name (full name)
L = Locality Name (eg, city) [Default City]
O = Organization Name (eg, company) [Default Company Ltd]
OU = Organizational Unit Name (eg, section)
CN = Common Name (eg, your name or your server's hostname)
emailAddress = Email Address
此時的的檔案有:
[root@docker02 ssl]# ll
total 32
-rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt
-rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key
自簽發泛域名證照
操作步驟為:
- 生成域名私鑰
- 生成證照籤發請求檔案
- 使用自簽署的CA,生成域名公鑰
具體如下:
### 當前目錄 /root/software/ssl
# 生成 zhangbook.com.key 金鑰
openssl genrsa -out zhangbook.com.key 2048
# 生成 zhangbook.com.csr 證照籤發請求 互動式
openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf
………………
##### 產生的互動式內容與填寫如下
Country Name (2 letter code) [XX]:CN
State or Province Name (full name) []:BJ
Locality Name (eg, city) [Default City]:BeiJing
Organization Name (eg, company) [Default Company Ltd]:BTC
Organizational Unit Name (eg, section) []:MOST
Common Name (eg, your name or your server's hostname) []:*.zhangbook.com # 這裡就是證照上的:頒發給
Email Address []:ca@test.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:BTC
………………
# 生成 zhangbook.com.csr 證照籤發請求 非互動式
openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com"
PS1:上面的Common Name 就是在這步填寫 *.zhangbook.com ,表示的就是該證照支援泛域名,common name一定要在SubjectAlternativeName中包含
PS2:進行CA簽名獲取證照時,需要注意國家、省、單位需要與CA證照相同,否則會報異常
檢視簽名請求檔案資訊
openssl req -in zhangbook.com.csr -text
使用自簽署的CA,簽署zhangbook.com.crt
openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
這裡證照有效時間為100年。
PS1:即便是你前面是sha256的根證照和sha256的請求檔案,如果這裡不加 -md sha256,那麼預設是按照sha1進行簽名的
PS2:在執行時,可能出現如下錯誤
異常問題1:
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/index.txt: No such file or directory
unable to open '/etc/pki/CA/index.txt'
140652962035600:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r')
140652962035600:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:這時我們建立該檔案即可
touch /etc/pki/CA/index.txt
異常問題2:
然後我們繼續使用 【自簽署的CA,簽署zhangbook.com.crt】;結果又出現新問題
Using configuration from /etc/pki/tls/openssl.cnf
/etc/pki/CA/serial: No such file or directory
error while loading serial number
140087163742096:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r')
140087163742096:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:使用如下命令即可。表示:用來跟蹤最後一次頒發證照的序列號。
echo "01" > /etc/pki/CA/serial
之後我們再次執行 【自簽署的CA,簽署zhangbook.com.crt 】 就正常了。詳情如下:
[root@docker02 ssl]# openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
Using configuration from /etc/pki/tls/openssl.cnf
Check that the request matches the signature
Signature ok
Certificate Details:
Serial Number: 1 (0x1)
Validity
Not Before: Oct 2 03:42:39 2020 GMT
Not After : Sep 8 03:42:39 2120 GMT
Subject:
countryName = CN
stateOrProvinceName = BJ
organizationName = BTC
organizationalUnitName = MOST
commonName = *.zhangbook.com
emailAddress = ca@test.com
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Key Usage:
Digital Signature, Non Repudiation, Key Encipherment
X509v3 Subject Alternative Name:
DNS:zhangbook.com, DNS:*.zhangbook.com
Certificate is to be certified until Sep 8 03:42:39 2120 GMT (36500 days)
Sign the certificate? [y/n]:y <== 需要輸入的
1 out of 1 certificate requests certified, commit? [y/n]y <== 需要輸入的
Write out database with 1 new entries
Data Base Updated
說明:此時我們再看,/etc/pki/CA/index.txt 和 /etc/pki/CA/serial 檔案資訊。如下:
[root@docker02 ~]# cat /etc/pki/CA/index.txt
V 21200908034239Z 01 unknown /C=CN/ST=BJ/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com
[root@docker02 ~]#
[root@docker02 ~]# cat /etc/pki/CA/serial
02
由上可知:域名簽署資訊已經儲存到index.txt檔案;並且證照序列serial檔案已經更新【從01變為了02】。
PS:
- 同一個域名不能簽署多次;由於簽署了
*.zhangbook.com,且已經被記錄,因此不能再次被簽署。除非刪除該記錄。 - 注意index.txt檔案和serial檔案的關係。serial檔案內容為index.txt檔案內容行數加1。
檢視證照資訊
openssl x509 -in zhangbook.com.crt -text
驗證簽發證照是否有效
[root@docker02 ssl]# openssl verify -CAfile CA.crt zhangbook.com.crt
zhangbook.com.crt: OK
此時的檔案有:
[root@docker02 ssl]# ll
total 32
-rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt
-rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key
-rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt
-rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr
-rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key
此時我們已經完成自簽發證照。
證照格式轉換
實際工作和生產環境中,可能需要各種各樣的證照格式。下面我們將證照轉換為常用的其他證照格式。
將crt轉pem格式
命令如下:
openssl x509 -in zhangbook.com.crt -out zhangbook.com.pem -outform PEM
生成 p12 格式的證照
利用生成的CA根證照和服務證照的crt 和 key 檔案生成 p12 檔案
openssl pkcs12 -export -in zhangbook.com.crt -inkey zhangbook.com.key -passin pass:CS2i1QkR -name *.zhangbook.com -chain -CAfile CA.crt -password pass:CS2i1QkR -caname *.zhangbook.com -out zhangbook.com.p12
PS:p12證照的password為CS2i1QkR
檢視p12證照資訊【keytool命令依賴於Java,因此需要先安裝Java】
[root@docker02 ssl]# keytool -rfc -list -keystore zhangbook.com.p12 -storetype pkcs12
Enter keystore password: <== 輸入:CS2i1QkR
Keystore type: PKCS12
Keystore provider: SunJSSE
Your keystore contains 1 entry
………………
轉換 p12 證照為 jks 證照檔案
使用jdk keytool工具進而生成tomcat/jboss端使用的證照檔案【需要安裝 Java】。
具體如下:
[root@docker02 ssl]# keytool -importkeystore -srckeystore zhangbook.com.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore zhangbook.com.jks
Importing keystore zhangbook.com.p12 to zhangbook.com.jks...
Enter destination keystore password: <== 輸入 jks 證照的密碼,如:CS2i1QkR
Re-enter new password: <== 重複輸入 jks 證照的密碼,如:CS2i1QkR
Enter source keystore password: <== 輸入 p12 證照的密碼,這裡是:CS2i1QkR
Entry for alias *.zhangbook.com successfully imported.
Import command completed: 1 entries successfully imported, 0 entries failed or cancelled
Warning:
The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore zhangbook.com.jks -destkeystore zhangbook.com.jks -deststoretype pkcs12".
PS:p12證照和jks證照的密碼相同,防止出現各種異常情況。
利用 jks 證照生成 cer 證照
具體如下
keytool -export -alias *.zhangbook.com -keystore zhangbook.com.jks -storepass CS2i1QkR -file zhangbook.com.cer
-storepass CS2i1QkR 為jks證照密碼
利用 cer 證照檔案生成 jdk 所使用的檔案
具體如下
keytool -import -alias *.zhangbook.com -keystore cacerts -file zhangbook.com.cer
目前存在檔案說明
[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]#
[root@docker02 ssl]# ll
total 52
-rw-r--r-- 1 root root 1018 Oct 2 14:24 cacerts ## jdk 所使用的檔案
-rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt ## CA公鑰
-rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key ## CA私鑰
-rw-r--r-- 1 root root 946 Oct 2 14:21 zhangbook.com.cer ## cer證照
-rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt ## zhangbook.com域名 CA簽發公鑰
-rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr ## zhangbook.com域名 證照籤發請求
-rw-r--r-- 1 root root 3303 Oct 2 14:13 zhangbook.com.jks ## jks證照
-rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key ## zhangbook.com域名 私鑰
-rw-r--r-- 1 root root 3716 Oct 2 14:02 zhangbook.com.p12 ## p12格式證照
-rw-r--r-- 1 root root 1338 Oct 2 13:56 zhangbook.com.pem ## zhangbook.com域名 PEM檔案
SSL證照使用
修改本地Windows的hosts檔案,用於域名解析
檔案位置:C:\WINDOWS\System32\drivers\etc\hosts 追加如下資訊
# zhangbook.com
172.16.1.32 www.zhangbook.com blog.zhangbook.com auth.zhangbook.com
其中172.16.1.32為測試使用的Linux機器,後面會部署WEB服務。由於自簽發的是泛域名證照,因此可以有多個二級域名。
後面訪問的時候,既可以使用域名訪問,也可以使用IP訪問。【推薦】使用域名訪問。
Apache服務的SSL證照使用
1、將Apache httpd用到的證照拷貝到指定目錄
[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]#
[root@docker02 ssl]# cp -a zhangbook.com.crt zhangbook.com.key zhangbook.com.pem /etc/pki/tls/certs
2、在Linux機器安裝httpd服務並新增ssl外掛
yum install -y httpd
yum install -y mod_ssl openssl # 執行後,會增加 /etc/httpd/conf.d/ssl.conf 檔案
3、在httpd新增SSL配置
[root@docker02 conf.d]# pwd
/etc/httpd/conf.d
[root@docker02 conf.d]#
[root@docker02 conf.d]# vim ssl.conf
<VirtualHost _default_:443>
# General setup for the virtual host, inherited from global configuration
#DocumentRoot "/var/www/html"
………………
# 修改如下3行
SSLCertificateFile /etc/pki/tls/certs/zhangbook.com.crt
SSLCertificateKeyFile /etc/pki/tls/certs/zhangbook.com.key
# 如下行可以註釋掉,也可以取消註釋
#SSLCertificateChainFile /etc/pki/tls/certs/zhangbook.com.pem
………………
</VirtualHost>
4、向VirtualHost的預設目錄新增檔案
echo "Apache web" > /var/www/html/index.html
5、啟動httpd服務
systemctl start httpd
6、瀏覽器訪問
https://172.16.1.32/
https://www.zhangbook.com/
https://blog.zhangbook.com
https://auth.zhangbook.com
7、驗證完畢,停止httpd服務
systemctl stop httpd
Nginx服務的SSL證照使用
1、在Linux機器安裝nginx服務
yum install -y nginx
通過 nginx -V 可見,--with-http_ssl_module 已安裝。
2、將nginx用到的證照拷貝到指定目錄
[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]#
[root@docker02 ssl]# cp -a zhangbook.com.key zhangbook.com.crt /etc/nginx/cert
3、在nginx新增SSL配置
[root@docker02 nginx]# pwd
/etc/nginx
[root@docker02 nginx]#
[root@docker02 nginx]# vim nginx.conf
………………
server {
listen 80;
listen [::]:80;
server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;
return 301 https://$server_name$request_uri;
}
# Settings for a TLS enabled server.
server {
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;
root /usr/share/nginx/html;
ssl_certificate "/etc/nginx/cert/zhangbook.com.crt";
ssl_certificate_key "/etc/nginx/cert/zhangbook.com.key";
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 10m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
# Load configuration files for the default server block.
include /etc/nginx/default.d/*.conf;
location / {
index index.html index.htm;
}
}
………………
4、向WEB站點新增html檔案
echo "Nginx web" > /usr/share/nginx/html/index.html
5、啟動nginx服務
systemctl start nginx.service
6、瀏覽器訪問
https://www.zhangbook.com/
https://blog.zhangbook.com
https://auth.zhangbook.com
7、驗證完畢,停止nginx服務
systemctl stop nginx
Tomcat服務的SSL證照使用
1、下載Tomcat。
[root@docker02 App]# pwd
/root/App
[root@docker02 App]#
[root@docker02 App]# wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-8/v8.5.58/bin/apache-tomcat-8.5.58.tar.gz
[root@docker02 App]#
[root@docker02 App]# tar xf apache-tomcat-8.5.58.tar.gz
### 檢視Java版本資訊
[root@docker02 App]# java -version
java version "1.8.0_231"
Java(TM) SE Runtime Environment (build 1.8.0_231-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode)
### 檢視Tomcat版本資訊
[root@docker02 bin]# pwd
/root/App/apache-tomcat-8.5.58/bin
[root@docker02 bin]#
[root@docker02 bin]# ./version.sh
………………
2、將Tomcat用到的證照拷貝到指定目錄
[root@docker02 ssl]# pwd
/root/software/ssl
[root@docker02 ssl]#
[root@docker02 ssl]# cp -a zhangbook.com.jks /root/App/apache-tomcat-8.5.58/conf/cert/
3、在Tomcat新增SSL配置
[root@docker02 conf]# pwd
/root/App/apache-tomcat-8.5.58/conf
[root@docker02 conf]#
[root@docker02 conf]# vim server.xml
………………
<Connector port="80" protocol="HTTP/1.1"
connectionTimeout="20000"
redirectPort="443" />
………………
### 其中Connector標籤中的子標籤 SSLHostConfig 已去掉
<Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="600" SSLEnabled="true" clientAuth="false" keystoreFile="/root/App/apache-tomcat-8.5.58/conf/cert/zhangbook.com.jks"
keystorePass="CS2i1QkR" keystoreType="JKS" scheme="https" secure="true"
sslProtocol="TLS" compression="on" acceptorThreadCount="2" connectionTimeout="20000">
</Connector>
………………
4、向WEB站點新增html檔案
[root@docker02 ROOT]# pwd
/root/App/apache-tomcat-8.5.58/webapps/ROOT
[root@docker02 ROOT]#
[root@docker02 ROOT]# echo 'Tomcat web' > index.html
PS:原ROOT目錄下的檔案已移走。
5、啟動Tomcat服務
[root@docker02 bin]# pwd
/root/App/apache-tomcat-8.5.58/bin
[root@docker02 bin]#
[root@docker02 bin]# sh startup.sh
6、瀏覽器訪問
https://172.16.1.32/
https://www.zhangbook.com/
https://blog.zhangbook.com
https://auth.zhangbook.com
7、驗證完畢,停止Tomcat服務
[root@docker02 bin]# pwd
/root/App/apache-tomcat-8.5.58/bin
[root@docker02 bin]#
[root@docker02 bin]# sh shutdown.sh
相關閱讀
相關文章
- OpenSSL 生成 RootCA (根證書)並自簽署證書(支援 IP 地址)
- openssl 簽發證書
- openssl生成自簽名證書
- 建立自簽名根證書-中間證書。
- 使用OpenSSL生成自簽名SSL證書
- Kubelet證書自動續簽(為kubelet配置證書輪換)
- Charles 匯出證書、簽發證書
- OpenSSL 證書請求和自簽名命令 req 詳解
- 使用 OpenSSL 建立私有 CA:1 根證書
- 使用OpenSSL轉換X509 PEM與PFX證書
- https--OpenSSL生成root CA及簽發證書HTTP
- openssl生成證書
- 什麼是自簽名證書?自簽名SSL證書的優缺點?
- 使用OpenSSL生成自簽名證書(IIS)搭建Https站點HTTP
- 從自簽名證書匯出pfx和cer證書
- 程式碼簽名證書與SSL證書區別
- 生成自簽名SSL證書
- ssl證書下載與安裝 – 如何下載ssl證書
- 使用OpenSSL生成證書
- 如何快速建立自簽名 SSL 證書 -- [mkcert]mkcert
- 什麼是自簽名SSL證書?自簽名證書有哪些安全隱患?
- Apache 配置https 自簽名證書 或者 購賣證書ApacheHTTP
- 自簽名的SSL證書與專業的SSL證書有哪些區別?
- 根證書 CA
- windows下使用makecert命令生成自簽名證書Windows
- Xcode自動管理證書下更新證書XCode
- 自簽名SSL證書安全嗎?
- 自簽名證書 nginx tomcatNginxTomcat
- 使用mkcert建立自簽名證書mkcert
- ios簽名證書:什麼是證書?iOS
- 蘋果簽名證書:共享證書和獨享證書找不同蘋果
- 在證書儲存區中找不到清單簽名證書
- 什麼是域名ssl證書?如何選擇合適的證書?
- 證書的數字簽名和認證 (轉)
- 自簽名SSL證書有風險嗎?
- Xamarin Android使用自簽名證書Android
- SSL證書是一個域名一個證書嗎?多個域名能用一張SSL證書嗎?
- 為IP地址簽發SSL證書