Web Server支持HTTPS访问需要两个文件,私钥和证书。私钥和证书都放在服务器上,私钥用来加密数据,证书传递给客户端。自己签名的证书在传递给浏览器的时,因为证书不被信任,所以会弹出连接不安全,一般点高级->继续浏览,还是可以访问网页。如果我们的证书被根证书厂商签名过的话,就不会弹出不安全的提示,浏览器地址栏一般还有绿色小锁标志。以下来说一下怎么一步步生成证书。

  1. 使用openssl生成私钥文件server.key,以下的步骤都是在Ubuntu上的使用openssl操作的,需要注意一下Ubuntu的系统时间,不要制作出来的证书是过期的。

openssl genrsa -out server.key 2048

  

  2.1 修改 openssl.cnf,因为我之前在做这部分的时候,证书需要支持多个域名和 IP,所以才需要这个步骤,制作单域名证书可以不用修改配置文件。

  2.2 拷贝openssl.cnf到当前目录

cp /etc/ssl/openssl.cnf ./

  2.3 按以下修改拷贝过来的配置文件:

    1> 在 [ req ] 块下取消注释行 req_extensions = v3_req

    2> 确保[ req_distinguished_name ]下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉

    3> 在 [ v3_req ] 块下增加一行 subjectAltName = @alt_names

    4> 在文件末尾增加如下信息:

      [ alt_names ]

      DNS.1 = www.liqingjht.com

      DNS.2 = liqingjht.com

      IP.1 = 192.168.1.105

      IP.2 = 192.168.1.107

    4>tip>  注意有没有www是不一样的域名,我在做证书请求CSR文件的时候,有 IP 的需求,不过在交给厂商签名的时候,厂商建议不加入 IP ,说是现在的标准逐渐不支持这种做法,因此我就没加上 IP 了,如果厂商支持的话,这么做应该是可以的,因为自己签名试了一下。

  

  3.1 使用私钥和配置文件生成证书请求CSR文件server.csr,没有修改配置文件的不用写配置文件的参数

openssl req -new -key server.key -out server.csr -config ./openssl.cnf

  3.2 生成CSR文件需要填写一些信息,Common Name填写主要域名,这个域名要在DNS.XX里

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Fujian

Locality Name (eg, city) []:Xiamen

Organization Name (eg, company) [Internet Widgits Pty Ltd]:cnblogs

Organizational Unit Name (eg, section) []:cnblogs

Common Name (e.g. server FQDN or YOUR name) []:www.liqingjht.com

Email Address []:liqingjht@163.com

  3>tip> server.csr 这个文件就是要拿给CA厂商签名的,server.key这个私钥文件自己保存好。拿给厂商签名后厂商会用他们的根证书前面这个CSR文件生成你服务器可用证书给你,在这之前我们可以自己充当CA厂商这个角色来测试一下。

  

  4.1 要生成用来前面CSR文件的根证书,首先创建CA目录

mkdir ./demoCA

mkdir demoCA/newcerts

touch demoCA/index.txt

echo 01 > demoCA/serial

  4.2 生成ca.key,并自签名生成ca.crt证书,需要填写密码两次,如1234,填写的Common Name要和上面生成CSR文件一致。其他步骤一样,建议还是按照CSR文件那样填写就好了。这里时间可以看到签了两年。

openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config ./openssl.cnf

  

  5. 使用自签署的CA证书签署服务器CSR证书请求,输入密码,一直按y就好了:

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf

  

  6. 这时候当前目录有这几个文件:ca.key ca.crt server.key server.crt server.csr,其中server.key server.crt就是要放在服务器上的,ca.key相当于电脑内置的根证书。将ca.crt下载到pc上,在浏览器管理证书那里切到根证书那栏,将ca.crt导入进来,这时候你用 https访问openssl.cnf里填写的DNS.XX 或 IP.XX 就不会跳出不安全提示了。将CSR文件交给厂商签名就是因为厂商的CA证书有内置在浏览器里,所以即使没有手动导入,也不会出现不安全提示。

Web Server CA证书签名步骤和自签名测试,支持多域名的更多相关文章

  1. 自签名证书和私有CA签名的证书的区别 创建自签名证书 创建私有CA 证书类型 证书扩展名【转】

    自签名的证书无法被吊销,CA签名的证书可以被吊销 能不能吊销证书的区别在于,如果你的私钥被黑客获取,如果证书不能被吊销,则黑客可以伪装成你与用户进行通信   如果你的规划需要创建多个证书,那么使用私有 ...

  2. Thawte SSL Web Server 多域型SSL证书

    Thawte SSL Web Server 多域型SSL证书,最多支持25个域名,需要验证域名所有权和申请单位信息,属于企业验证型SSL证书,提供40位/56位/128位,最高支持256位自适应加密. ...

  3. Thawte SSL Web Server

      Thawte SSL Web Server ,需要验证域名所有权和申请单位信息,属于企业验证(OV)型SSL证书,提供40位/56位/128位,最高支持256位的自适应加密.被2048位的根证书签 ...

  4. 【转】推荐介绍几款小巧的Web Server程序

    原博地址:http://blog.csdn.net/heiyeshuwu/article/details/1753900 偶然看到几个小巧有趣的Web Server程序,觉得有必要拿来分享一下,让大家 ...

  5. PHP内置Web Server探究(一)启动Cli_Server

    自PHP5.4之后 PHP内置了一个Web 服务器(cli_server),类似于Python的内置server一样,方便我们开发阶段的调试 主要使用场景: 1,没有搭建nginx或apache等第三 ...

  6. 用openssl为WEB服务器生成证书(自签名CA证书,服务器证书)

    用openssl为WEB服务器生成证书(自签名CA证书,服务器证书) 来源: https://www.cnblogs.com/osnosn/p/10608455.html 来自osnosn的博客 写于 ...

  7. TLS就是SSL的升级版+网络安全——一图看懂HTTPS建立过程——本质上就是引入第三方监管,web服务器需要先生成公钥和私钥,去CA申请,https通信时候浏览器会去CA校验CA证书的有效性

    起初是因为HTTP在传输数据时使用的是明文(虽然说POST提交的数据时放在报体里看不到的,但是还是可以通过抓包工具窃取到)是不安全的,为了解决这一隐患网景公司推出了SSL安全套接字协议层,SSL是基于 ...

  8. CA证书、自颁发证书、自签名证书联系

    一.理论基础 ssl:secure socket layer(安全套接层协议)的缩写,通过此协议可以保证两个应用通信的可靠性和保密性.openssl:是ssl协议的实现.提供了对称加密算法.非对称加密 ...

  9. ca 证书、签名

    1.我现在没有个人CA证书,使用.中信建投网上交易,是如何保障安全的呢? 如果您目前没有个人CA证书,使用.中信建投网上交易,系统其实也是用CA证书的RSA体系进行加密的. 您在输入账户和密码进行登录 ...

随机推荐

  1. [转] Console命令详解,让调试js代码变得更简单

    http://www.cnblogs.com/see7di/archive/2011/11/21/2257442.html Firebug是网页开发的利器,能够极大地提升工作效率. 但是,它不太容易上 ...

  2. hdu_1875_畅通工程再续 prim和kruskal

    这个题是个典型的最小生成树的题目,但是刚开始怎么都过不了,后来发现两种写法都有疏忽,但是prim的到目前为止不懂为什么刚开始的不对,kruskal算法,并查集的初始条件从0开始写成从1开始了,所以已知 ...

  3. ubuntu安装kvm流程

    1. 查看CPU的虚拟化支持~ egrep 'svm|vmx' /proc/cpuinfo #查看是否有内容输出 2. 更新源~ sudo apt-get update 安装KVM及virt管理软件~ ...

  4. 复杂 Listview 显示 多个样式

    三种方式 目前为止有三种方法让Listview现实多个样式 最简单最常用的,通过addHeaderView或addFooterView,但是只能在首尾添加 较麻烦但正规的方式,通过getViewTyp ...

  5. 用户 'IIS APPPOOL\ExportExcel' 登录失败。

    解决了前两个错误,在成功打开项目后,在访问数据库又越到如下错误 “/”应用程序中的服务器错误. 用户 'IIS APPPOOL\ExportExcel' 登录失败. 说明: 执行当前 Web 请求期间 ...

  6. android系统360浏览器使用append动态添加元素出现黑色错乱背景

    去掉样式 backface-visibility:hidden;

  7. 【转】Android开源项目 分类 便于查看

    之前转载了一个开源项目的文章,发现那些都是没有系统的总结,这里又转载一篇有系统总结的文章. Android开源项目系列汇总已完成,包括: Android开源项目第一篇——个性化控件(View)篇 An ...

  8. 【sql】经典SQL语句大全

    原文链接:http://www.cnblogs.com/yubinfeng/archive/2010/11/02/1867386.html —————————————————————————————— ...

  9. swift 重载 泛式 inout的使用

    swift 重载 泛式 inout的使用 函数 func 关键字 -> 表示返回值信息等等 那我们接下来利用函数做几件事情 -a 比较两个数字的大小 -b 比较两个字符串 -c 既能比较字符串, ...

  10. 画板社交工具开发分享——HTML5 canvas控件、PHP、社交分享学习(一)

    不谈国内社交网站(人人.微博等)目前的盈利状况如何,facebook.twitter都已经取得了很大的成功.这一定程度上都得益于人们对社交的喜爱和投入. 目前的情况来看,也有很多人已经对直接的文字分享 ...