关于自签名证书的那些事(自主签名)
sinye56 2024-11-11 13:38 4 浏览 0 评论
工作中有些Web站点部署在公司内部服务器,访问者也都是公司的同事。为了配置https安全访问,可以使用自签名证书或私有CA签名证书。
如果有很多的内部域名需要实现https的访问,最好配置一个私有的CA,如果仅有一两个域名,直接使用自签名证书更方便些。
自签名证书和CA签名证书的区别:
- 自签名证书不能被吊销,如果证书私钥泄露,你需要重新生成新的证书和私钥并配置到Web服务器上
- 如果有多个自签名证书,为了建立客户端的信任,每个证书都需要在客户端完成安装。如果采用CA签名证书的方式,每个客户端只需要安装CA的证书即可,该CA签名的证书,客户端都将信任
本文仅介绍自签名证书的生成和使用。
- 生成自签名证书
使用Linux自带的openssl命令,如下:
openssl \
req \
-newkey rsa:2048 \
-nodes \
-keyout key.pem \
-x509 -days 365 -out cert.pem \
-subj "/C=CN/ST=Guangdong/L=Shenzhen/O=CompanyName/OU=IT/CN=www.example.com/emailAddress=email@example.com"重要参数解释:
- -newkey,这个选项会生成新的CSR(证书签名请求)和新的私钥
- -nodes,产生的私钥不用加密,不会弹出输入密码的提示
- -subj,指定证书的Subject Name,如果是域名证书,保证CN为站点域名即可
上面命令执行后,当前目录将生成域名证书和对应的私钥,
[aneirin@host-1~]$ls -lh
-rw-rw-r-- 1 aneirin aneirin 1.5K Jun 23 14:43 cert.pem
-rw-rw-r-- 1 aneirin aneirin 1.7K Jun 23 14:43 key.pem- 测试自签名证书
通过上面命令就可以生成自签名证书和私钥。如何测试证书是否可以正常使用,依赖Python的Flask模块即可(如果没有安装,使用pip提前安装),运行下面代码:
from flask import Flask
Flask(__name__).run(ssl_context=('cert.pem', 'key.pem'))运行上面脚本后,Flask将启动一个Web服务,并监听在服务器环回接口的端口5000上,
[aneirin@host-1~]$sudo ss -tnlp | grep 5000
LISTEN 0 128 127.0.0.1:5000 *:* users:(("python",pid=19906,fd=3))使用curl测试,
[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
* Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* Server certificate:
* subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* start date: Jun 23 06:43:18 2021 GMT
* expire date: Jun 23 06:43:18 2022 GMT
* common name: www.example.com
* issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* NSS error -8172 (SEC_ERROR_UNTRUSTED_ISSUER)
* Peer's certificate issuer has been marked as not trusted by the user.
* Closing connection 0
curl: (60) Peer's certificate issuer has been marked as not trusted by the user.
More details here: http://curl.haxx.se/docs/sslcerts.html
......因为证书是自签名的,curl并不信任这个证书,可以配置服务器让其信任该证书,
[aneirin@host-1~]$sudo cp cert.pem /etc/pki/ca-trust/source/anchors/selfsign-cert.pem
[aneirin@host-1~]$sudo update-ca-trust备注:服务器操作系统为“CentOS Linux release 7.9.2009 (Core)”
再次运行上面的命令:
[aneirin@host-1~]$curl -vvvI https://www.example.com:5000 --resolve www.example.com:5000:127.0.0.1
* Added www.example.com:5000:127.0.0.1 to DNS cache
* About to connect() to www.example.com port 5000 (#0)
* Trying 127.0.0.1...
* Connected to www.example.com (127.0.0.1) port 5000 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* SSL connection using TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* Server certificate:
* subject: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
* start date: Jun 23 06:43:18 2021 GMT
* expire date: Jun 23 06:43:18 2022 GMT
* common name: www.example.com
* issuer: E=email@example.com,CN=www.example.com,OU=IT,O=ExampleCOM,L=Shenzhen,ST=Guangdong,C=CN
> HEAD / HTTP/1.1
> User-Agent: curl/7.29.0
> Host: www.example.com:5000
> Accept: */*
>
* HTTP 1.0, assume close after body
< HTTP/1.0 404 NOT FOUND
HTTP/1.0 404 NOT FOUND
< Content-Type: text/html; charset=utf-8
Content-Type: text/html; charset=utf-8
< Content-Length: 232
Content-Length: 232
< Server: Werkzeug/2.0.1 Python/3.6.8
Server: Werkzeug/2.0.1 Python/3.6.8
< Date: Wed, 23 Jun 2021 07:16:39 GMT
Date: Wed, 23 Jun 2021 07:16:39 GMT
<
* Closing connection 0可以看到自签名证书已经可以正常使用。
是不是自签名证书可以从curl返回的结果一眼看出来:键“issuer”和“subject”一模一样的证书就是自签名证书,可以看到,我们的证书是自签名证书。
- 总结
本文对自签名证书的生成和使用做了介绍。生成自签名域名证书时,特别注意CN的值是域名即可。有些证书可以包含多个域名,这时需要配置“ X509v3 Subject Alternative Name”。通过私有CA生成域名证书,可以参考简便的HTTPS证书生成工具-CFSSL。
希望这篇文章能帮到正在努力的你,欢迎点赞,评论!
相关推荐
- Linux在线安装JDK1.8
-
首先在服务器pingwww.baidu.com查看是否可以连网然后就可以在线下载一、下载安装JDK1.81、在下载安装的同时做好一些准备工作...
- Linux安装JDK,超详细
-
1、了解RPMRPM是Red-HatPackageManager(RPM软件包管理器)的缩写,这一文件格式名称虽然打上了RedHat的标志,但是其原始设计理念是开放式的,现在包括OpenLinux...
- Linux安装jdk1.8(超级详细)
-
前言最近刚购买了一台阿里云的服务器准备要搭建一个网站,正好将网站的一个完整搭建过程分享给大家!#一、下载jdk1.8首先我们需要去下载linux版本的jdk1.8安装包,我们有两种方式去下载安装...
- Linux系统安装JDK教程
-
下载jdk-8u151-linux-x64.tar.gz下载地址:https://www.oracle.com/technetwork/java/javase/downloads/index.ht...
- 干货|JDK下载安装与环境变量配置图文教程「超详细」
-
1.JDK介绍1.1什么是JDK?SUN公司提供了一套Java开发环境,简称JDK(JavaDevelopmentKit),它是整个Java的核心,其中包括Java编译器、Java运行工具、Jav...
- Linux下安装jdk1.8
-
一、安装环境操作系统:CentOSLinuxrelease7.6.1810(Core)JDK版本:1.8二、安装步骤1.下载安装包...
- Linux上安装JDK
-
以CentOS为例。检查是否已安装过jdk。yumlist--installed|grepjdk或者...
- Linux系统的一些常用目录以及介绍
-
根目录(/):“/”目录也称为根目录,位于Linux文件系统目录结构的顶层。在很多系统中,“/”目录是系统中的唯一分区。如果还有其他分区,必须挂载到“/”目录下某个位置。整个目录结构呈树形结构,因此也...
- Linux系统目录结构
-
一、系统目录结构几乎所有的计算机操作系统都是使用目录结构组织文件。具体来说就是在一个目录中存放子目录和文件,而在子目录中又会进一步存放子目录和文件,以此类推形成一个树状的文件结构,由于其结构很像一棵树...
- Linux文件查找
-
在Linux下通常find不很常用的,因为速度慢(find是直接查找硬盘),通常我们都是先使用whereis或者是locate来检查,如果真的找不到了,才以find来搜寻。为什么...
- 嵌入式linux基本操作之查找文件
-
对于很多初学者来说都习惯用windows操作系统,对于这个系统来说查找一个文件简直不在话下。而学习嵌入式开发行业之后,发现所用到的是嵌入式Linux操作系统,本想着跟windows类似,结果在操作的时...
- linux系统查看软件安装目录的方法
-
linux系统下怎么查看软件安装的目录?方法1:whereis软件名以查询nginx为例子...
- Linux下如何对目录中的文件进行统计
-
统计目录中的文件数量...
- Linux常见文件目录管理命令
-
touch用于创建空白文件touch文件名称mkdir用于创建空白目录还可以通过参数-p创建递归的目录...
- Linux常用查找文件方法总结
-
一、前言Linux系统提供了多种查找文件的命令,而且每种查找命令都具有其独特的优势,下面详细总结一下常用的几个Linux查找命令。二、which命令查找类型:二进制文件;...
欢迎 你 发表评论:
- 一周热门
- 最近发表
- 标签列表
-
- oracle忘记用户名密码 (59)
- oracle11gr2安装教程 (55)
- mybatis调用oracle存储过程 (67)
- oracle spool的用法 (57)
- oracle asm 磁盘管理 (67)
- 前端 设计模式 (64)
- 前端面试vue (56)
- linux格式化 (55)
- linux图形界面 (62)
- linux文件压缩 (75)
- Linux设置权限 (53)
- linux服务器配置 (62)
- mysql安装linux (71)
- linux启动命令 (59)
- 查看linux磁盘 (72)
- linux用户组 (74)
- linux多线程 (70)
- linux设备驱动 (53)
- linux自启动 (59)
- linux网络命令 (55)
- linux传文件 (60)
- linux打包文件 (58)
- linux查看数据库 (61)
- linux获取ip (64)
- 关闭防火墙linux (53)