CentOS命令生成自签名证书

在centos上我们可以使用一行命令创建自签名证书

可以正常使用,只不过不受信任

生成命令

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout test.com.key -out test.com.crt

上述命令中关键词说明

-x509:证书格式
3650:天数 十年 也可以是其他数字
test.com.key:私钥文件名
test.com.crt:公钥文件名


以下内容中最后七行是需要填写的,可按需填写或默认

openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -keyout test.com.key -out test.com.crt
Generating a 2048 bit RSA private key
..............................................................................+++
......................+++
writing new private key to 'test.com.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:cn
State or Province Name (full name) []:Hong Kong
Locality Name (eg, city) [Default City]:Hong Kong
Organization Name (eg, company) [Default Company Ltd]:yui
Organizational Unit Name (eg, section) []:yui
Common Name (eg, your name or your server's hostname) []:*.yuick.com
Email Address []:yuick@yuick.com

使用
自签名证书生成后我们可以按照《CentOS7 apache2.4配置ssl证书https访问》进行配置


不受信任

sslerror.png


首次访问,需要点击“忽略警告,继续访问”,才能继续。

sslerror1.png

地址栏里的🔒会带个❌,https也有中划线
如果网址只是自己用,可以将证书安装到受信任存储区









一键生成

C  => Country

ST => State

L  => City

O  => Organization

OU => Organization Unit

CN => Common Name

openssl req -x509 -nodes -sha256 -newkey rsa:2048 \
-keyout yuick.key \
-subj "/C=US/ST=New Jersey/L=Parsippany/O=Yuick, Inc/OU=Yuick/CN=yuick.com" \
-reqexts SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:www.yuick.com,DNS:test.yuick.com")) \
-out yuick.csr
openssl ca -in yuick.csr \
-extensions SAN \
-config <(cat /etc/pki/tls/openssl.cnf \
<(printf "[SAN]\nsubjectAltName=DNS:www.yuick.com,DNS:test.yuick.com")) \
-out yuick.crt


标签: centos ssl https

发表评论: