openssl 正确生成v3带SAN的证书

原创 于 2025-02-03 13:07:58 发布 · 2.3k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#openssl #v3 #证书 #https #SSL #TLS

初级代码游戏的专栏介绍与文章目录-CSDN博客

我的github:codetoys,所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。

这些代码大部分以Linux为目标但部分代码是纯C++的,可以在任何平台上使用。

源码指引:github源码指引_初级代码游戏的博客-CSDN博客

基础知识请见:openssl 生成证书 windows导入证书-CSDN博客

目录

为什么一定要v3和SAN

如何生成v3和SAN

如何确认是v3带SAN的证书

完整脚本参考

为什么一定要v3和SAN

        为什么要v3版本呢?因为v3才能包含扩展。

        为什么一定要包含扩展呢?因为没有扩展就没有SAN。

        为什么一定要SAN呢?因为没有SAN把域名和证书绑定在一起,新版浏览器永远认为不安全。

        如果查看证书详情可能会看到如下信息:

net::ERR_CERT_COMMON_NAME_INVALID

此服务器无法证明它是 www.test.com;它的安全证书不指定使用者可选名称。这可能是由错误配置或者有攻击者截获你的连接而导致的。

         你可能以为这个“common name”不就是CN吗?或许以前如此,现在这个错误实际上指的是SAN,CN已经被废弃了。

        如果证书正确地包含了SAN而访问的域名与SAN不一致,仍然会提示证书问题:

最低0.47元/天 解锁文章
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1670
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CA签CSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
使用openssl生成SAN证书 多个注意点
qq_35306993的博客
09-17 767
使用openssl生成SAN证书 多个注意点
使用 OpenSSL 制作一个包含 SAN(Subject Alternative Name)的证书
weixin_34387468的博客
10-20 9417
为什么80%的码农都做不了架构师?>>> ...
openssl生成v3_生成openssl证书
weixin_29973493的博客
01-13 1013
错误总结1. SSL: error:0906406D:PEM routines:PEM_def_callback:problems getting password error:0907B068:PEM routines:PEM_READ_BIO_PRIVATEKEY:bad password read error:140B0009:SSL routines:SSL_CTX_use_Private...
使用openssl生成SAN证书
Arvin
08-12 3166
使用openssl生成SAN证书
【使用openssl生成https v3版本证书
weixin_42282363的博客
07-27 3386
最后生成ca.srl,server.crt两个文件,此时一共生成了server.key,server.csr,ca.srl,ca.crt,server.crt 5个文件。HTTPS是在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性,安全基础为SSL(安全套接字协议),或者叫TLS。-x509:专用于CA生成自签证书,如果不是自签证书则不需要此项。-days:证书的有效期限,单位是天。生成默认的V1.0版本的证书。-key:用到的私钥文件。-out:证书的保存路径。最后生成ca.crt文件。
OpenSSL 生成证书、中间证书和网站证书
石牌桥网管笔记
11-07 1609
在这个过程中,需要根据提示输入国家、地区、组织名称等信息,例如国家填“CN”,地区填“Beijing”等,组织名称可自定义为“China Root CA Organization”等。同样输入相应信息,组织名称可填“Guangdong Intermediate CA Organization”等。参数来启用扩展,以便后续添加多个域名。在创建请求时,可以添加。
使用Openssl生成多域名(SAN)csr文件和证书
runningcode的博客
04-21 5200
1.创建一个多域名的配置文件 随便找一个地方创建配置文件example.com.conf # example.com.conf [ req ] default_bits = 2048 default_keyfile = privkey.pem distinguished_name = req_distinguished_name # 生成v3版本扩展属性的证书 req_extensions = ...
openssl 生成证书 windows导入证书
最新发布
编程之道在明明德在亲民在止于至善
01-30 2271
openssl 生成证书 windows导入证书
ubuntu openssl v3证书
求道问术
06-23 764
【代码】ubuntu openssl v3证书
OpenSSL制作自签名V3证书
Lazyafei's Blog
04-14 5660
本文以制作指定ip(200.4.170.132)证书为例,其他ip或域名请自行更换。 1、创建根证书私钥 openssl genrsa -out RootCA.key 1024 2、创建根证书请求文件(CSR - Certificate Signing Request ) openssl req -subj "/C=CN/ST=Beijing/L=Beijing/O=lazyOrg/OU=lazyOrg/CN=root/emailAddress=afei@lazy.com" ...
openssl 生成v3证书
wangsifu2009的专栏
06-30 5778
今天一下午都在调这个,网上也到处搜帖子,提问的一大票,能解决的暂时没有发现~~~~~ 想使用openssl生成一个只能用于签名的证书,即证书的扩展属性:密钥用途,只能用于数字签名~但是我们一般使用openssl生成证书时,生成证书都是v1证书,是不扩展属性的~~  方法: 在使用CA证书进行签署证书时:openssl x509 –req –in other-re
02-HTTPS证书生成、验签 、证书
River的博客
11-11 2228
在第一节中我们知道了HTTPS为什么需要证书,以及证书的作用。那么这一节对证书的细节展开更加深入的研究。
OpenSSL创建SAN扩展的证书并进行CA自签
热门推荐
liwei2633的专栏
09-20 1万+
什么是 SANSAN(Subject Alternative Name) 是 SSL 标准 x509 中定义的一个扩展。使用了 SAN 字段的 SSL 证书,可以扩展此证书支持的域名,使得一个证书可以支持多个不同域名的解析。来看看百度的证书,百度证书的扩展域名有这么多,其中还有了*.hao123.com,那我们再看看www.hao123.com的证书 发现的确是用的前面的百度证书 所以SAN
grpc、https、oauth2等认证专栏实战3: 使用openssl来制作san类型的证书
码二哥的技术池
07-18 1754
首先,找到openssl软件自openssl.cnf的文件路径,(centos系统)拷贝到指定目录下。
OpenSSL生成v3证书方法及配置文件
weixin_34066347的博客
12-05 1587
场景: 业务需要生成v3版的证书,而一般使用OpenSSL生成证书时都是v1版的,不扩展属性。方法:在使用CA证书进行签署证书时加入-exfile和-extensions选项,具体命令如下:>opensslx509-req-days365-sha256-extfileopenssl.cnf-extensionsv3_req-inserver...
Openssl v3证书 配置文件
shareinfo2018
09-17 1655
openssl
openssl颁发包含主题替代名的证书SAN
一个金牛座猿猿子的技术分享空间
11-21 2744
在 X.509 证书中,commonName(CN)字段只能有一个值。如果让证书支持多个域名和IP地址,需要用到主题替代名称–subjectAltName。 第一步,制作CA根证书 第二步:颁发证书
Openssl v3证书 配置文件。
crazy Crypto
05-22 4353
# # OpenSSL example configuration file. # This is mostly being used for generation of certificate requests. # # This definition stops the following lines choking if HOME isn't # defined. HOME
centos的openssl 配置SAN 证书
07-14
在CentOS上使用OpenSSL生成SAN证书,您可以按照以下步骤进行操作: 1. 确保您的系统已经安装了OpenSSL。如果没有安装,请使用以下命令安装: ``` sudo yum install openssl ``` 2. 创建一个名为`openssl.cnf`的配置文件。可以使用以下命令创建并编辑该文件: ``` sudo vi openssl.cnf ``` 3. 在`openssl.cnf`文件中添加以下内容来定义SAN扩展: ``` [req] req_extensions = v3_req [v3_req] subjectAltName = @alt_names [alt_names] DNS.1 = example.com DNS.2 = www.example.com ``` 将`example.com`和`www.example.com`替换为您要在证书中包含的实际域名。 4. 生成证书的私钥和证书签发请求(CSR)。执行以下命令,并将`example.key`和`example.csr`替换为您想要的文件名: ``` openssl req -newkey rsa:2048 -nodes -keyout example.key -out example.csr -config openssl.cnf ``` 在生成CSR时,根据提示填写相应的信息,如国家、组织、通用名称等。 5. 使用CSR向证书颁发机构(CA)申请证书签名,或者如果您是自签名证书,则可以使用以下命令生成自签名证书: ``` openssl x509 -req -in example.csr -signkey example.key -out example.crt -extensions v3_req -extfile openssl.cnf ``` 这将使用CSR和私钥生成SAN证书`example.crt`。 现在,您已经成功生成SAN证书。请注意,在实际部署中,请使用受信任的证书颁发机构(CA)颁发的证书以获得最佳的安全性和信任度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

初级代码游戏

知识究竟是有价还是无价

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值