人工置顶
正常情况下请不要使用自签名证书,因为自签的证书需要用户安装证书才能得到信任,而且维护起来也比较麻烦
let`s encrypt提供免费的证书 https://github.com/certbot/certbot
但是有的场景let`s encrypt不支持,可以使用自签名证书或者交钱去CA机构买证书
CA根证书制作
#1.生成根证书密钥
$ openssl genrsa -out ca.key 4096 #建议长度为4096,1024长度已经被列为不安全。
#2.生成自签名根证书
$ openssl req -new -x509 -days 3650 -key ca.key -out ca.crt #这里在输入CommonName的时候输入名称而不是域名或者ip,就是证书上显示的颁发者,虽然是自签名证书,但是尽量让证书看起来标准一些
使用根证书来签名其它证书
1.生成证书密钥
$ openssl genrsa -out server.key 4096
2. Subject Alt Name(SAN)
高版本的Chrome浏览器会要求设置subjectAltName,如果没有设置SAN会报证书错误
参考openssl配置文件,Linux服务器上通常在/etc/pki/tls/openssl.cnf
新建文件san.conf
[req]
default_bits = 4096
distinguished_name = req_distinguished_name
req_extensions = v3_req
[req_distinguished_name]
countryName = country
stateOrProvinceName = province
localityName = city
organizationName = company name
commonName = domain name or ip
[v3_req]
subjectAltName = @alt_names
[alt_names]
NDS.1=domain #可以使用通配符
IP.1=xxx.xxx.xxx.xxx
3. 生成证书签名请求(CSR)
向根证书请求签名一个新的证书,由于用户信任了你的根证书,所以根证书签名的其它证书也会被信任
# 生成csr 注意要使用sha256算法(推荐是sha256算法,默认算法浏览器会报弱加密算法错误)
$ openssl req -new -key server.key -out server.csr -config san.conf -sha256
# 查看csr信息
$ openssl req -text -in server.csr
csr信息中会有类似的信息
Requested Extensions:
X509v3 Subject Alternative Name:
IP Address:xxxxxx
4.使用根证书按照csr给证书签名,生成新证书server.crt
这里serial参数需要全局唯一,否则在同一台设备上使用serial值相同的证书会冲突。
$ openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt -extfile san.conf -extensions v3_req
查看证书信息
$ openssl x509 -text -in server.crt
证书信息中会有类似信息
X509v3 extensions:
X509v3 Subject Alternative Name:
IP Address:xxxxxx
说明
以上操作均在centos7.2环境下测试通过
mac买不起
windows懒得去试了
