翼度科技»论坛 云主机 LINUX 查看内容

OpenSSL 生成 RootCA (根证书)并自签署证书(支持 IP 地址)

7

主题

7

帖子

21

积分

新手上路

Rank: 1

积分
21
背景

某机房内部访问需要配置 HTTPS,网上找的一些证书教程都不是特别好,有些直接生成证书,没有根 CA 的证书导致信任不了 Ubuntu 机器,有些教程只有域名生成,没有 IP 生成,有些甚至报错。故发一个笔者在 Ubuntu 22.04 机器上测试正确可用的流程,这里使用 10.12.0.2 作为例子生成一个证书。
生成


  • 生成根 CA 的私钥和证书
    1. # 生成根 CA 的私钥
    2. openssl genrsa -out rootCA.key 2048
    3. # 使用私钥生成根 CA 的证书
    4. openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt
    复制代码
  • 为 10.12.0.2 生成私钥和证书请求文件(CSR)
    1. # 生成 10.12.0.2 的私钥
    2. openssl genrsa -out 10.12.0.2.key 2048
    3. # 使用私钥生成证书请求文件
    4. openssl req -new -key 10.12.0.2.key -out 10.12.0.2.csr
    复制代码
  • 创建证书扩展文件
    为了确保为 10.12.0.2 签名的证书能够用作服务器身份验证,需要为它创建一个扩展文件。创建一个名为 v3.ext 的文件,并添加以下内容:
    1. authorityKeyIdentifier=keyid,issuer
    2. basicConstraints=CA:FALSE
    3. keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
    4. subjectAltName = @alt_names
    5. [alt_names]
    6. # 这里 IP 替换成 DNS 就可以签名域名了
    7. IP.1 = 10.12.0.2
    复制代码
  • 使用根 CA 的证书为 10.12.0.2 签名证书
    1. openssl x509 -req -in 10.12.0.2.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out 10.12.0.2.crt -days 500 -sha256 -extfile v3.ext
    复制代码
此时文件夹内应该有以下文件:

  • rootCA.key - 根 CA 的私钥。
  • rootCA.crt - 根 CA 的证书。
  • 10.12.0.2.key - 10.12.0.2 的私钥。
  • 10.12.0.2.csr - 10.12.0.2 的证书请求文件。
  • 10.12.0.2.crt - 由根 CA 签名的 10.12.0.2 的证书。
信任

Ubuntu
  1. sudo cp rootCA.crt /usr/local/share/ca-certificates/
  2. sudo update-ca-certificates
复制代码
CentOS
  1. sudo cp rootCA.crt /etc/pki/ca-trust/source/anchors/
  2. sudo update-ca-trust
复制代码
Windows

右键文件,选择安装证书,选择本地计算机,指定安装到受信任的根证书颁发机构,即可
使用

这里拿 ASP.NET CORE 无反代部署举例,复制 10.12.0.2.key 和 10.12.0.2.crt 文件到应用发布目录,之后在 appsettings.json 里加入或修改如下内容,并重启服务即可。
  1. {
  2.   // 上面是其他内容
  3.   "Kestrel": {
  4.     "Endpoints": {
  5.       "Https": {
  6.         "Url": "https://*",
  7.         "Certificate": {
  8.           "Path": "./10.12.0.2.crt",
  9.           "KeyPath": "./10.12.0.2.key"
  10.         }
  11.       }
  12.     }
  13.   }
  14. }
复制代码
来源:https://www.cnblogs.com/aobaxu/p/17754721.html
免责声明:由于采集信息均来自互联网,如果侵犯了您的权益,请联系我们【E-Mail:cb@itdo.tech】 我们会及时删除侵权内容,谢谢合作!

举报 回复 使用道具