投稿
  1. 首页
  2. 服务器

服务器证书不受信任怎么解决?

proofread 2023-5-27 服务器 阅读 10

服务器证书不受信任怎么解决?,第1张

当访问一些包含>

openssl genrsa -out rootkey 2048

也可以是pem文件,也可为了区分这是私钥而改用key后缀名,内容如下:

查看详细解析:包含两个大素数和两个指数和一个系数

openssl rsa -in rootkey -text

可通过命令提取公钥:

openssl rsa -pubout -in rootkey

openssl req -new -out root-reqcsr -key rootkey -keyform PEM

-keyform PEM:证书有pem和der格式之分,前者文本,多用于java和windows服务器,后者二进制

CSR是Certificate Signing Request的英文缩写,即证书请求文件

openssl x509 -req -in root-reqcsr -out root-certcer -signkey rootkey -CAcreateserial -days 365

-CAcreateserial ,创建证书序列号,使用此选项,当CA序列号文件不存在时将被创建:它将包含序列号“02”,正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在,则会出现错误。

-days 据说3650天有时候会意外导致证书验证失败,没遇到过

此处可有pem、crt、cer多种输出格式,其实内容都一样,来试一下:

每次生成的证书都不一样,但是未发现不同后缀名下的证书格式不同。

我的理解:

pem是最基本的编码格式,der也相同。

CRT文件是由第三方证书颁发机构(例如VeriSign或DigiCert)提供和生成的安全文件,ASCII编码格式。

cer是crt的微软形式。

为了统一,全使用cer格式。

可选择将证书和私钥导入密钥库,通常用p12和jks( Java Key Store)格式:

openssl pkcs12 -export -in root-certcer -inkey rootkey -out rootp12 -name "lab"

需要加密保护, -name 设置别名

然后可选择使用keytool将p12转为jks格式,此处就不做转换了。

步骤基本相同

步骤基本相同

openssl genrsa -out server-keykey 2048

openssl req -new -out server-reqcsr -key server-keykey -keyform PEM

openssl x509 -req -in server-reqcsr -out server-certcer -CA F:\CERT\mycert\ test\openssl\win\root\root-certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360

openssl pkcs12 -export -in server-certcer -inkey server-keykey -out server p12 -name "lab-server"

运行环境要包含完整证书链。需要将证书链放到系统可信目录下。

为证书绑定ip,只能通过config文件,

文件如下可将常用参数写入,生成请求文件时直接enter即可:

使用配置文件时在生成请求文件和签发证书时的参数不同:
生成请求文件:
openssl req -new -out server-req1csr -key server-keykey -keyform PEM -extensions v3_req -config openssl cnf

签发证书:

openssl x509 -req -in server-req1csr -out server-cert1cer -CA F:\CERT\mycert\test\openssl\win\root\root- certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360 -extensions v3_req -extfile opensslcnf

默认证书链长度为2,使用中间ca签发时,中间ca的生成需要在配置文件中加修改长度参数:

[ v3_ca ]

basicConstraints = CA:true,pathlen:3

Note:
参考:
OpenSSL主配置文件opensslcnf
利用OpenSSL创建证书链并应用于IIS7
openssl系列文章: >ggtl证书验证方法,如果服务端提供有完整的证书链,就会一层一层和系统内置的 CA 证书比对。证书一致和签名一致就说明服务器证书没问题。如果服务端没有提供证书链,但签发证书一般提供有下载地址,这时客户端需要一级一级从下往上下载证书,然后找到系统内置的 CA 证书,从上往下一级一级验签。如果签名正常就说明服务器证书没问题。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/zz/12693317.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
proofread proofread 一级用户组
0 0
上一篇 2023-05-27
下一篇 2023-05-27

发表评论

登录后才能评论

评论列表(0条)

保存