一台服务器一个固定ip怎样做两个网站,wordpress头像cdn,中国对外贸易网,做风投要关注哪些网站证书可以通过openssl或者keytool创建#xff0c;在本篇文章中#xff0c;只介绍openssl。
openssl 生成证书
申请操作流程
生成ca证书私钥, 文件名#xff1a;ca.key生成ca证书#xff0c;文件名#xff1a;ca.crt生成Server/Client 证书私钥#xff0c;文件名#x…证书可以通过openssl或者keytool创建在本篇文章中只介绍openssl。
openssl 生成证书
申请操作流程
生成ca证书私钥, 文件名ca.key生成ca证书文件名ca.crt生成Server/Client 证书私钥文件名server.key, client.key生成Server/Client 证书签名请求文件名server.csr, client.csr生成v3扩展文件(可选)文件名v3.ext生成Server/Client 证书文件名server.crt, client.crt
示意图如下
证书签名请求的机构信息
在生成证书签名请求(csr)时需要补充机构信息如下
参数名称subject 简写参数值示例Country NameC国家代码比如中国就是CNState or Province NameST省名称ZhejiangLocality NameL城市名称HangzhouOrganization NameO机构名称Organizational Unit NameOU机构单位名称Common NameCN重点参数授权给什么因为机构是根节点所以是授权给自己域名:www.test.comIP:xxx.xxx.xxx.xxxEmail AddressemailAddress邮件地址
生成证书
通过下两种方法创建证书后最后得到有用的文件分别为
端文件服务器端ca.crt、server.crt、(pkcs8_server.key 或 server.key)客户端端ca.crt、client.crt、(pkcs8_client.key 或 client.ke)
私钥无密码
生成ca证书私钥, 文件名ca.key
执行下面的命令会输出ca.key文件
openssl genrsa -out ca.key 2048生成ca证书文件名ca.crt
使用下面命令生成ca根证书输出一个有效期36500天的ca.crt文件
openssl req -new -x509 -key ca.key -out ca.crt -days 36500上面的命令需要在命令窗口中补充subject信息(注意修改-subj 中的参数)使用下面的命令直接将subject信息传入无需在命令窗口慢慢补充
openssl req -new -x509 -key ca.key -out ca.crt -days 36500 -subj /CCN/STZhejiang/LHangzhou/OOrganization Company/OUOrganizational Unit Name/CNwww.ts.com/emailAddressmts.com sign CA
注意: 如果ca.crt过期新旧ca.crt的subject参数信息需要完全一样否则对那些由旧ca.crt签名生成的证书进行校验时会失败报错。
生成Server/Client 证书私钥文件名server.key, client.key
生成服务器端私钥
openssl genrsa -out server.key 2048生成客户端私钥
openssl genrsa -out client.key 2048生成Server/Client 证书签名请求文件名server.csr, client.csr
生成Server证书: 生成服务器端的csr文件为生成服务器证书做准备
openssl req -new -key server.key -out server.csr或者添加-subj参考快速生成服务器端的csr文件(注意修改-subj 中的参数)
openssl req -new -key server.key -out server.csr -subj /CCN/STZhejiang/LHangzhou/OServer Company/OUServer Unit Name/CNser.ts.com/emailAddressserts.com生成Client证书: 生成client 端csr文件为生成client证书做准备
openssl req -new -key client.key -out client.csr或者添加-subj参考快速生成client端的csr文件(注意修改-subj 中的参数)
openssl req -new -key client.key -out client.csr -subj /CCN/STZhejiang/LHangzhou/OClient Company/OUClient Unit Name/CNcli.ts.com/emailAddressclits.com生成Server/Client 证书文件名server.crt, client.crt
生成服务器端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -days 36500生成client 端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt -days 36500将key转换为PK8
转换服务端key为PK8
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt转换客户端key为PK8
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt私钥有密码
生成ca的私钥和证书, 文件名ca.key, ca.crt
openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500快速生成方法(注意修改-subj 中的参数)
openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500 -subj /CCN/STZhejiang/LHangzhou/OOrganization Company/OUOrganizational Unit Name/CNwww.ts.com/emailAddressmts.com sign CA注意使用这种方式需要记好私钥密码尤其是ca.key的密码 如果ca.crt过期续期生成新的ca.crt时需要用到。
生成Server/Client 证书私钥文件名server.key, client.key
生成服务端和客户端私钥
openssl genrsa -des3 -out server.key 1024生成客户端私钥
openssl genrsa -des3 -out client.key 1024生成Server/Client 证书签名请求文件名server.csr, client.csr
根据 server.key 生成服务端的server.csr 文件
openssl req -new -key server.key -out server.csr根据 client.key 生成客户端的client.csr 文件
openssl req -new -key client.key -out client.csr如果觉得上面的命令麻烦的话 可以添加-subj参数(注意修改-subj 中的参数)快速生成。
快速生成server.csr:
openssl req -new -key server.key -out server.csr -subj /CCN/STZhejiang/LHangzhou/OServer Company/OUServer Unit Name/CNser.ts.com/emailAddressserts.com快速生成client.csr
openssl req -new -key client.key -out client.csr -subj /CCN/STZhejiang/LHangzhou/OClient Company/OUClient Unit Name/CNcli.ts.com/emailAddressclits.com生成Server/Client 证书文件名server.crt, client.crt
根据 ca 证书签名申请 server.csr 生成 服务端的x509 证书
openssl x509 -req -days 36500 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt根据 ca 证书签名申请 client.csr 生成客户端的x509 证书
openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt#如果需要和ip绑定则加上参数。 服务端-server.crt
openssl x509 -req -days 36500 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -extfile (printf subjectAltNameIP:127.0.0.1)客户端-client.crt
openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -extfile (printf subjectAltNameIP:127.0.0.1)将key转换为不需要密码的PK8
转换服务端key为PK8
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt转换客户端key为PK8
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt完整操作命令
openssl 私钥无密码
mtls证书生成#生成ca证书,在目录中输出 ca.key 和 ca.crt 文件
openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500
openssl req -new -x509 -keyout ca.key -out ca.crt#生成 CA 私钥
openssl genrsa -out ca.key 2048
#生成ca证书,在目录中输出 ca.crt 文件
openssl req -new -x509 -key ca.key -out ca.crt -days 36500
#生成ca证书,在目录中输出 ca.crt 文件(直接填充subject参数), -subj参数 Ccn, STzj, Lhz, Oser-ts, OUser-ts-un, CNser.ts.com, emailAddressserts.com
openssl req -new -x509 -key ca.key -out ca.crt -days 36500 -subj /CCN/STZhejiang/LHangzhou/OOrganization Company/OUOrganizational Unit Name/CNwww.ts.com/emailAddressmts.com sign CAopenssl req -new -x509 -key ca.key -out ca.crt -days 36500 -sha256 -extensions v3_ca -subj /CCN/STZhejiang/LHangzhou/OOrganization Company/OUOrganizational Unit Name/CNwww.ts.com/emailAddressmts.com sign CA#生成CA的csr文件保存必要信息;生成CA的证书文件crt文件
#该命令生成的ca.crt文件在mtls场景会报:io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject CNxxx, OUxx, Oxx, Lhz, STzj, Ccn is not a CA certificate
#以上异常产生的具体原因本人暂时未知
---
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
---#
#生成服务器端私钥
openssl genrsa -out server.key 2048
#生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem
#生成服务器端的csr文件为生成服务器证书做准备
openssl req -new -key server.key -out server.csr
#生成服务器端的csr文件(直接填充subject参数)
openssl req -new -key server.key -out server.csr -subj /CCN/STZhejiang/LHangzhou/OServer Company/OUServer Unit Name/CNser.ts.com/emailAddressserts.com
#生成服务器端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -days 36500
#转换服务端key为PK8
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt#生成客户端私钥
openssl genrsa -out client.key 2048
#生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem
#生成client 端csr文件为生成client证书做准备
openssl req -new -key client.key -out client.csr
#生成client 端csr文件(直接填充subject参数)
openssl req -new -key client.key -out client.csr -subj /CCN/STZhejiang/LHangzhou/OClient Company/OUClient Unit Name/CNcli.ts.com/emailAddressclits.com
#生成client 端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt -days 36500
#转换客户端key为PK8
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocryptopenssl 私钥有密码
#生成ca证书,输出 ca.key 和 ca.crt 文件
openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500
#生成ca证书,输出 ca.key 和 ca.crt 文件
openssl req -new -x509 -keyout ca.key -out ca.crt -days 36500 -subj /CCN/STZhejiang/LHangzhou/OOrganization Company/OUOrganizational Unit Name/CNwww.ts.com/emailAddressmts.com sign CA#生成服务端和客户端私钥
openssl genrsa -des3 -out server.key 1024
openssl genrsa -des3 -out client.key 1024#根据 key 生成 csr 文件
openssl req -new -key server.key -out server.csr
openssl req -new -key client.key -out client.csr
#根据 key 生成 csr 文件,快速生成csr文件
openssl req -new -key server.key -out server.csr -subj /CCN/STZhejiang/LHangzhou/OServer Company/OUServer Unit Name/CNser.ts.com/emailAddressserts.com
openssl req -new -key client.key -out client.csr -subj /CCN/STZhejiang/LHangzhou/OClient Company/OUClient Unit Name/CNcli.ts.com/emailAddressclits.com#根据 ca 证书 server.csr 和 client.csr 生成 x509 证书
openssl x509 -req -days 36500 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt
#如果需要和ip绑定则加上参数
openssl x509 -req -days 36500 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -extfile (printf subjectAltNameIP:127.0.0.1)
openssl x509 -req -days 36500 -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -extfile (printf subjectAltNameIP:127.0.0.1)#将 key 文件进行 PKCS#8 编码
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocryptopenssl 生成证书以及证书转换
1.生成服务器端私钥
openssl genrsa -out server.key 2048
2.生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem
3.生成客户端私钥
openssl genrsa -out client.key 2048
4.生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem
5.生成 CA 私钥
openssl genrsa -out ca.key 2048
6.生成CA的csr文件保存必要信息
openssl req -new -key ca.key -out ca.csr
7 生成CA的证书文件crt文件
#这个命令生成ca.crt文件会在mtls场景会有信任问题建议使用后面的命令
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
#这段命令生成的ca.crt在mtls场景可以正常使用
openssl req -new -x509 -key ca.key -out ca.crt -days 365008.生成服务器端的csr文件为生成服务器证书做准备
openssl req -new -key server.key -out server.csr
9.生成服务器端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
10.生成client 端csr文件为生成client证书做准备
openssl req -new -key client.key -out client.csr
11.生成client 端证书crt文件
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt12.备份服务器私钥
openssl rsa -in server.key -out server_nopwd.key
13.生成服务器端证书
openssl x509 -req -days 365 -in server.csr -signkey server_nopwd.key -out server.crt
14.转换服务端key为PK8
openssl pkcs8 -topk8 -in server.key -out pkcs8_server.key -nocrypt
15.转换客户端key为PK8
openssl pkcs8 -topk8 -in client.key -out pkcs8_client.key -nocrypt
16.转换ca 的certkey为pfx
openssl pkcs12 -export -in ca.crt -inkey ca.key -out ca.pfx
17.转换ca的 pfx为jks
keytool -importkeystore -srckeystore ca.pfx -destkeystore ca.jks -srcstoretype PKCS12 -deststoretype JKS
18. 转换服务端 的certkey为pfx
openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
19. 转换服务端的 pfx为jks
keytool -importkeystore -srckeystore server.pfx -destkeystore server.jks -srcstoretype PKCS12 -deststoretype JKS20. 转换客户端 的certkey为pfx
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
21. 转换客户端的 pfx为jks
keytool -importkeystore -srckeystore client.pfx -destkeystore client.jks -srcstoretype PKCS12 -deststoretype JKS
SSLHandshakeExceptionTrustAnchor with subject “CNxxx, OUxx, Oxx, Lhz, STzj, Ccn” is not a CA certificate 解决办法
详细错误信息 io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject CNxxx, OUxx, Oxx, Lhz, STzj, Ccn is not a CA certificate 原因 使用下面的命令生成ca.crt
openssl req -new -key ca.key -out ca.csr
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt解决办法
规避措施 应用程序启动时在启动参数里加上如下参数不进行校验是否为CA -Djdk.security.allowNonCaAnchortrue根本解决方法 在生成CA证书时明确添加是否为CA的标识 -ext BasicConstraintsca:true使用上面的两种方法生成ca.crt
参考
局域网内搭建浏览器可信任的SSL证书 openssl创建CA证书教程 生成可信任的https证书 基于Netty的MQTT Server实现并支持SSL 记一次TrustAnchor with subject异常解决 手动实现CA数字认证java java编程方式生成CA证书
