在linux下如何根据域名自签发各种SSL证书,这里我们以Apache、Tomcat、Nginx为例。
openssl自签发泛域名(通配符)证书
首先要有openssl工具,如果没有那么使用如下命令安装:
yum install -y openssl openssl-devel
修改openssl.cnf配置文件
具体修改如下
1 [root@docker02 ~]# vim /etc/pki/tls/openssl.cnf 2 [ req ] 3 ……………… 4 # 将如下配置的注释放开 5 req_extensions = v3_req # The extensions to add to a certificate request 6 ……………… 7 [ v3_req ] 8 9 # Extensions to add to a certificate request10 11 basicConstraints = CA:FALSE12 keyUsage = nonRepudiation, digitalSignature, keyEncipherment13 # 添加如下行14 subjectAltname = @SubjectAlternativename15 16 # 同时增加如下信息17 [SubjectAlternativename]18 DNS.1 = zhangbook.com19 DNS.2 = *.zhangbook.com
说明:本次我们以 *.zhangbook.com 泛域名为例。
创建根证书
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 ## 创建CA私钥 5 [root@docker02 ssl]# openssl genrsa -out CA.key 2048 6 ## 制作CA公钥 7 [root@docker02 ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf 8 ……………… 9 Country name (2 letter code) [XX]:CN10 State or Province name (full name) []:BJ11 Locality name (eg, city) [Default City]:BeiJing12 Organization name (eg, company) [Default Company Ltd]:BTC13 Organizational Unit name (eg, section) []:MOST14 Common name (eg, your name or your server@H_502_170@'@H_502_170@s hostname) []:light Zhang # 这里就是证书上的:颁发者15 Email Address []:ca@test.com
当然上述的公钥制作方式需要交互式输入信息,如果不想频繁输入,那么可以使用如下命令:
1 ## 免交互式制作CA公钥2 openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj @H_502_170@"@H_502_170@/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=light Zhang/emailAddress=ca@test.com@H_502_170@"
subj内容详解:
1 C = Country name (2 letter code)2 ST = State or Province name (full name)3 L = Locality name (eg, city) [Default City]4 O = Organization name (eg, company) [Default Company Ltd]5 OU = Organizational Unit name (eg, section)6 CN = Common name (eg, your name or your server@H_502_170@'@H_502_170@s hostname)7 emailAddress = Email Address
此时的的文件有:
1 [root@docker02 ssl]# ll2 total 323 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key
自签发泛域名证书
*** 作步骤为:
生成域名私钥生成证书签发请求文件使用自签署的CA,生成域名公钥具体如下:
1 ### 当前目录 /root/software/ssl 2 # 生成 zhangbook.com.key 密钥 3 openssl genrsa -out zhangbook.com.key 2048 4 # 生成 zhangbook.com.csr 证书签发请求 交互式 5 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf 6 ……………… 7 ##### 产生的交互式内容与填写如下 8 Country name (2 letter code) [XX]:CN 9 State or Province name (full name) []:BJ10 Locality name (eg, city) [Default City]:BeiJing11 Organization name (eg, company) [Default Company Ltd]:BTC12 Organizational Unit name (eg, section) []:MOST13 Common name (eg, your name or your server@H_502_170@'@H_502_170@s hostname) []:*.zhangbook.com # 这里就是证书上的:颁发给14 Email Address []:ca@test.com15 16 Please enter the following @H_502_170@'@H_502_170@extra@H_502_170@' attributes17 to be sent with your certificate request18 A challenge password []:12345619 An optional company name []:BTC20 ………………21 # 生成 zhangbook.com.csr 证书签发请求 非交互式22 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf -subj @H_502_170@"@H_502_170@/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com@H_502_170@"
PS1:上面的Common name 就是在这步填写 *.zhangbook.com ,表示的就是该证书支持泛域名,common name一定要在SubjectAlternativename中包含
PS2:进行CA签名获取证书时,需要注意国家、省、单位需要与CA证书相同,否则会报异常
查看签名请求文件信息
openssl req -in zhangbook.com.csr -text
使用自签署的CA,签署zhangbook.com.crt
openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
这里证书有效时间为100年。
PS1:即便是你前面是sha256的根证书和sha256的请求文件,如果这里不加 -md sha256,那么默认是按照sha1进行签名的
PS2:在执行时,可能出现如下错误
异常问题1:
1 Using configuration from /etc/pki/tls/openssl.cnf2 /etc/pki/CA/index.txt: No such file or directory3 unable to open @H_502_170@'@H_502_170@/etc/pki/CA/index.txt@H_502_170@'4 140652962035600:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen(@H_502_170@'@H_502_170@/etc/pki/CA/index.txt@H_502_170@',@H_502_170@'@H_502_170@r@H_502_170@')5 140652962035600:error:20074002:BIO routines:file_CTRL:system lib:bss_file.c:404:
处理:这时我们创建该文件即可
touch /etc/pki/CA/index.txt
异常问题2:
然后我们继续使用 【自签署的CA,签署zhangbook.com.crt】;结果又出现新问题
1 Using configuration from /etc/pki/tls/openssl.cnf2 /etc/pki/CA/serial: No such file or directory3 error while loading serial number4 140087163742096:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen(@H_502_170@'@H_502_170@/etc/pki/CA/serial@H_502_170@',@H_502_170@'@H_502_170@r@H_502_170@')5 140087163742096:error:20074002:BIO routines:file_CTRL:system lib:bss_file.c:404:
处理:使用如下命令即可。表示:用来跟踪最后一次颁发证书的序列号。
echo @H_502_170@"@H_502_170@01@H_502_170@" > /etc/pki/CA/serial
之后我们再次执行 【自签署的CA,签署zhangbook.com.crt 】 就正常了。详情如下:
1 [root@docker02 ssl]# openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf 2 Using configuration from /etc/pki/tls/openssl.cnf 3 Check that the request matches the signature 4 Signature ok 5 Certificate Details: 6 Serial Number: 1 (0x1) 7 ValIDity 8 Not Before: Oct 2 03:42:39 2020 GMT 9 Not After : Sep 8 03:42:39 2120 GMT10 Subject:11 countryname = CN12 stateOrProvincename = BJ13 organizationname = BTC14 organizationalUnitname = MOST15 commonname = *.zhangbook.com16 emailAddress = ca@test.com17 X509v3 extensions:18 X509v3 Basic Constraints: 19 CA:FALSE20 X509v3 Key Usage: 21 Digital Signature, Non Repudiation, Key Encipherment22 X509v3 Subject Alternative name: 23 DNS:zhangbook.com, DNS:*.zhangbook.com24 Certificate is to be certifIEd until Sep 8 03:42:39 2120 GMT (36500 days)25 Sign the certificate? [y/n]:y <== 需要输入的26 27 28 1 out of 1 certificate requests certifIEd, commit? [y/n]y <== 需要输入的29 Write out database with 1 new entrIEs30 Data Base Updated
说明:此时我们再看,/etc/pki/CA/index.txt 和 /etc/pki/CA/serial 文件信息。如下:
1 [root@docker02 ~]# cat /etc/pki/CA/index.txt2 V 21200908034239Z 01 unkNown /C=CN/ST=BJ/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com3 [root@docker02 ~]# 4 [root@docker02 ~]# cat /etc/pki/CA/serial5 02
由上可知:域名签署信息已经保存到index.txt文件;并且证书序列serial文件已经更新【从01变为了02】。
PS:
同一个域名不能签署多次;由于签署了*.zhangbook.com,且已经被记录,因此不能再次被签署。除非删除该记录。注意index.txt文件和serial文件的关系。serial文件内容为index.txt文件内容行数加1。查看证书信息
openssl x509 -in zhangbook.com.crt -text
验证签发证书是否有效
1 [root@docker02 ssl]# openssl verify -CAfile CA.crt zhangbook.com.crt2 zhangbook.com.crt: OK
此时的文件有:
1 [root@docker02 ssl]# ll2 total 323 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key5 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt6 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr7 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key
此时我们已经完成自签发证书。
证书格式转换
实际工作和生产环境中,可能需要各种各样的证书格式。下面我们将证书转换为常用的其他证书格式。
将crt转pem格式
命令如下:
openssl x509 -in zhangbook.com.crt -out zhangbook.com.pem -outform PEM生成 p12 格式的证书
利用生成的CA根证书和服务证书的crt 和 key 文件生成 p12 文件
openssl pkcs12 -export -in zhangbook.com.crt -inkey zhangbook.com.key -passin pass:CS2i1QkR -name *.zhangbook.com -chain -CAfile CA.crt -password pass:CS2i1QkR -caname *.zhangbook.com -out zhangbook.com.p12PS:p12证书的password为CS2i1QkR
查看p12证书信息【keytool命令依赖于Java,因此需要先安装Java】
1 [root@docker02 ssl]# keytool -rfc -List -keystore zhangbook.com.p12 -storetype pkcs12 2 Enter keystore password: <== 输入:CS2i1QkR3 Keystore type: PKCS124 Keystore provIDer: SunjsSE5 6 Your keystore contains 1 entry7 ………………
转换 p12 证书为 jks 证书文件
使用jdk keytool工具进而生成tomcat/jboss端使用的证书文件【需要安装 Java】。
具体如下:
1 [root@docker02 ssl]# keytool -importkeystore -srckeystore zhangbook.com.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore zhangbook.com.jks 2 importing keystore zhangbook.com.p12 to zhangbook.com.jks... 3 Enter destination keystore password: <== 输入 jks 证书的密码,如:CS2i1QkR 4 Re-enter new password: <== 重复输入 jks 证书的密码,如:CS2i1QkR 5 Enter source keystore password: <== 输入 p12 证书的密码,这里是:CS2i1QkR 6 Entry for alias *.zhangbook.com successfully imported. 7 import command completed: 1 entrIEs successfully imported, 0 entrIEs Failed or cancelled 8 9 Warning:10 The JKS keystore uses a proprIEtary format. It is recommended to migrate to PKCS12 which is an industry standard format using @H_502_170@"@H_502_170@keytool -importkeystore -srckeystore zhangbook.com.jks -destkeystore zhangbook.com.jks -deststoretype pkcs12@H_502_170@".
PS:p12证书和jks证书的密码相同,防止出现各种异常情况。
利用 jks 证书生成 cer 证书
具体如下
keytool -export -alias *.zhangbook.com -keystore zhangbook.com.jks -storepass CS2i1QkR -file zhangbook.com.cer-storepass CS2i1QkR 为jks证书密码
利用 cer 证书文件生成 jdk 所使用的文件
具体如下
keytool -import -alias *.zhangbook.com -keystore cacerts -file zhangbook.com.cer目前存在文件说明
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# ll 5 total 52 6 -rw-r--r-- 1 root root 1018 Oct 2 14:24 cacerts ## jdk 所使用的文件 7 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt ## CA公钥 8 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key ## CA私钥 9 -rw-r--r-- 1 root root 946 Oct 2 14:21 zhangbook.com.cer ## cer证书10 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt ## zhangbook.com域名 CA签发公钥11 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr ## zhangbook.com域名 证书签发请求12 -rw-r--r-- 1 root root 3303 Oct 2 14:13 zhangbook.com.jks ## jks证书13 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key ## zhangbook.com域名 私钥14 -rw-r--r-- 1 root root 3716 Oct 2 14:02 zhangbook.com.p12 ## p12格式证书15 -rw-r--r-- 1 root root 1338 Oct 2 13:56 zhangbook.com.pem ## zhangbook.com域名 PEM文件
SSL证书使用
修改本地windows的hosts文件,用于域名解析
1 文件位置:C:windowsSystem32driversetchosts 追加如下信息2 # zhangbook.com3 172.16.1.32 www.zhangbook.com blog.zhangbook.com auth.zhangbook.com
其中172.16.1.32为测试使用的linux机器,后面会部署WEB服务。由于自签发的是泛域名证书,因此可以有多个二级域名。
后面访问的时候,既可以使用域名访问,也可以使用IP访问。【推荐】使用域名访问。
Apache服务的SSL证书使用
1、将Apache httpd用到的证书拷贝到指定目录
1 [root@docker02 ssl]# pwd2 /root/software/ssl3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.crt zhangbook.com.key zhangbook.com.pem /etc/pki/tls/certs
2、在linux机器安装httpd服务并添加ssl插件
1 yum install -y httpd2 yum install -y mod_ssl openssl # 执行后,会增加 /etc/httpd/conf.d/ssl.conf 文件
3、在httpd添加SSL配置
1 [root@docker02 conf.d]# pwd 2 /etc/httpd/conf.d 3 [root@docker02 conf.d]# 4 [root@docker02 conf.d]# vim ssl.conf 5 <VirtualHost _default_:443> 6 # General setup for the virtual host, inherited from global configuration 7 #documentRoot @H_502_170@"@H_502_170@/var/www/HTML@H_502_170@" 8 ……………… 9 # 修改如下3行10 SSLCertificatefile /etc/pki/tls/certs/zhangbook.com.crt11 SSLCertificateKeyfile /etc/pki/tls/certs/zhangbook.com.key12 # 如下行可以注释掉,也可以取消注释13 #SSLCertificateChainfile /etc/pki/tls/certs/zhangbook.com.pem14 ………………15 </VirtualHost>
4、向VirtualHost的默认目录添加文件
echo @H_502_170@"@H_502_170@Apache web@H_502_170@" > /var/www/HTML/index.HTML
5、启动httpd服务
systemctl start httpd
6、浏览器访问
1 https://172.16.1.32/2 https://www.zhangbook.com/3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、验证完毕,停止httpd服务
systemctl stop httpd
@H_404_1499@Nginx服务的SSL证书使用
1、在linux机器安装Nginx服务
yum install -y Nginx
通过 Nginx -V 可见,--with-http_ssl_module 已安装。
2、将Nginx用到的证书拷贝到指定目录
1 [root@docker02 ssl]# pwd2 /root/software/ssl3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.key zhangbook.com.crt /etc/Nginx/cert
3、在Nginx添加SSL配置
1 [root@docker02 Nginx]# pwd 2 /etc/Nginx 3 [root@docker02 Nginx]# 4 [root@docker02 Nginx]# vim Nginx.conf 5 ……………… 6 server { 7 Listen 80; 8 Listen [::]:80; 9 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;10 return 301 https://$server_name$request_uri;11 }12 13 # Settings for a TLS enabled server.14 server {15 Listen 443 ssl http2 default_server;16 Listen [::]:443 ssl http2 default_server;17 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com;18 root /usr/share/Nginx/HTML;19 20 ssl_certificate @H_502_170@"@H_502_170@/etc/Nginx/cert/zhangbook.com.crt@H_502_170@";21 ssl_certificate_key @H_502_170@"@H_502_170@/etc/Nginx/cert/zhangbook.com.key@H_502_170@";22 ssl_session_cache shared:SSL:1m;23 ssl_session_timeout 10m;24 ssl_ciphers HIGH:!aNulL:!MD5;25 ssl_prefer_server_ciphers on;26 27 # Load configuration files for the default server block.28 include /etc/Nginx/default.d/*.conf;29 30 location / {31 index index.HTML index.htm;32 }33 }34 ………………
4、向WEB站点添加HTML文件
echo @H_502_170@"@H_502_170@Nginx web@H_502_170@" > /usr/share/Nginx/HTML/index.HTML
5、启动Nginx服务
systemctl start Nginx.service
6、浏览器访问
1 https://www.zhangbook.com/2 https://blog.zhangbook.com 3 https://auth.zhangbook.com
7、验证完毕,停止Nginx服务
systemctl stop Nginx
Tomcat服务的SSL证书使用
1、下载Tomcat。
1 [root@docker02 App]# pwd 2 /root/App 3 [root@docker02 App]# 4 [root@docker02 App]# wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-8/v8.5.58/bin/apache-tomcat-8.5.58.tar.gz 5 [root@docker02 App]# 6 [root@docker02 App]# tar xf apache-tomcat-8.5.58.tar.gz 7 ### 查看Java版本信息 8 [root@docker02 App]# java -version 9 java version @H_502_170@"@H_502_170@1.8.0_231@H_502_170@"10 Java(TM) SE Runtime Environment (build 1.8.0_231-b11)11 Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode)12 ### 查看Tomcat版本信息13 [root@docker02 bin]# pwd14 /root/App/apache-tomcat-8.5.58/bin15 [root@docker02 bin]# 16 [root@docker02 bin]# ./version.sh17 ………………
2、将Tomcat用到的证书拷贝到指定目录
1 [root@docker02 ssl]# pwd2 /root/software/ssl3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.jks /root/App/apache-tomcat-8.5.58/conf/cert/
3、在Tomcat添加SSL配置
1 [root@docker02 conf]# pwd 2 /root/App/apache-tomcat-8.5.58/conf 3 [root@docker02 conf]# 4 [root@docker02 conf]# vim server.xml 5 ……………… 6 <Connector port=@H_502_170@"@H_502_170@80@H_502_170@" protocol=@H_502_170@"@H_502_170@http/1.1@H_502_170@" 7 connectionTimeout=@H_502_170@"@H_502_170@20000@H_502_170@" 8 redirectPort=@H_502_170@"@H_502_170@443@H_502_170@" /> 9 ………………10 ### 其中Connector标签中的子标签 SSLHostConfig 已去掉11 <Connector port=@H_502_170@"@H_502_170@443@H_502_170@" protocol=@H_502_170@"@H_502_170@org.apache.coyote.http11.http11NioProtocol@H_502_170@"12 maxThreads=@H_502_170@"@H_502_170@600@H_502_170@" SSLEnabled=@H_502_170@"@H_502_170@true@H_502_170@" clIEntAuth=@H_502_170@"@H_502_170@false@H_502_170@" keystorefile=@H_502_170@"@H_502_170@/root/App/apache-tomcat-8.5.58/conf/cert/zhangbook.com.jks@H_502_170@" 13 keystorePass=@H_502_170@"@H_502_170@CS2i1QkR@H_502_170@" keystoreType=@H_502_170@"@H_502_170@JKS@H_502_170@" scheme=@H_502_170@"@H_502_170@https@H_502_170@" secure=@H_502_170@"@H_502_170@true@H_502_170@" 14 sslProtocol=@H_502_170@"@H_502_170@TLS@H_502_170@" compression=@H_502_170@"@H_502_170@on@H_502_170@" acceptorThreadCount=@H_502_170@"@H_502_170@2@H_502_170@" connectionTimeout=@H_502_170@"@H_502_170@20000@H_502_170@">15 </Connector>16 ………………
4、向WEB站点添加HTML文件
1 [root@docker02 ROOT]# pwd2 /root/App/apache-tomcat-8.5.58/webapps/ROOT3 [root@docker02 ROOT]# 4 [root@docker02 ROOT]# echo @H_502_170@'@H_502_170@Tomcat web@H_502_170@' > index.HTML
PS:原ROOT目录下的文件已移走。
5、启动Tomcat服务
1 [root@docker02 bin]# pwd2 /root/App/apache-tomcat-8.5.58/bin3 [root@docker02 bin]# 4 [root@docker02 bin]# sh startup.sh
6、浏览器访问
1 https://172.16.1.32/2 https://www.zhangbook.com/3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、验证完毕,停止Tomcat服务
1 [root@docker02 bin]# pwd2 /root/App/apache-tomcat-8.5.58/bin3 [root@docker02 bin]# 4 [root@docker02 bin]# sh shutdown.sh
相关阅读
1、openssl生成自签名泛域名(通配符)证书
———END———
如果觉得不错就关注下呗 (-^O^-) !
总结
以上是内存溢出为你收集整理的在Linux下如何根据域名自签发OpenSSL证书与常用证书转换全部内容,希望文章能够帮你解决在Linux下如何根据域名自签发OpenSSL证书与常用证书转换所遇到的程序开发问题。
如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)