ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

[转载]OpenSSL生成自签名的sha256泛域名证书

2021-11-14 23:00:40  阅读:258  来源: 互联网

标签:openssl ca req OpenSSL server 域名 key sha256


用自签名生成的CA证书和服务器证书用在nginx后报下面的错,原来必须指定参数-md sha256,默认是按照sha1进行签名的 nginx: [emerg] SSL_CTX_use_certificate("/etc/nginx/ssl/server.cer") failed (SSL: error:140AB18E:SSL routines:SSL_CTX_use_certificate:ca md too weak)

 

环境:

CentOS 6.8 x86_64

安装

openssl openssl-devel

 

cp /etc/pki/tls/openssl.cnf openssl.cnf

修改openssl.cnf

[ req ]

distinguished_name = req_distinguished_name

default_md = sha256 #将sha1改为sha256

req_extensions = v3_req  #取消这行注释

 

# 确保req_distinguished_name下没有 0.xxx 的标签,有的话把0.xxx的0. 去掉

[ req_distinguished_name ]

countryName              = Country Name (2 letter code)

countryName_default = CN

stateOrProvinceName             = State or Province Name (full name)

stateOrProvinceName_default = GuangDong

localityName              = Locality Name (eg, city)

localityName_default = ShenZhen

organizationalUnitName             = Organizational Unit Name (eg, section)

organizationalUnitName_default = 303 IT Lab

commonName         = IT Lab

commonName_max = 64

 

 

[ v3_req ]

# Extensions to add to a certificate request

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names    #增加这行

 

# 新增以下部分

[ alt_names ]

DNS.1 = abc.com

DNS.2 = *.abc.com

DNS.3 = xyz.com

DNS.4 = *.xyz.com

可以自行增加多域名

 

创建相关目录及文件

mkdir -p CA/{certs,crl,newcerts,private}

touch CA/index.txt

echo 00 > CA/serial

 

1.生成ca.key并自签署

openssl req -utf8 -sha256 -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf

2.生成server.key

openssl genrsa -out server.key 2048

3.生成证书签名请求

openssl req -utf8 -new -sha256 -key server.key -out server.csr -config openssl.cnf

Common Name 就是在这一步填写 *.abc.com  common name一定要在alt_names中包含

 

4.查看签名请求文件信息

openssl req -in server.csr -text

检查 Signature Algorithm 是不是sha256WithRSAEncryptio

5.使用自签署的CA,签署server.scr

openssl ca -in server.csr -md sha256  -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf

注意:即便是你前面是sha256的根证书和sha256的请求文件,如果不加-md sha256,默认是按照sha1进行签名的

6.查看证书

openssl x509 -in server.crt -text

同样检查 Signature Algorithm 是不是sha256WithRSAEncryptio

 

标签:openssl,ca,req,OpenSSL,server,域名,key,sha256
来源: https://www.cnblogs.com/sui84/p/15553912.html

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有