SSL自签名证书问题

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

SSL自签名证书问题

#1

帖子 冲浪板 » 2009-01-02 18:12

根据文章,可以
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
sign.sh server.csr
得到server.crt

既然ca.crt可以那样做出,那么
openssl req -new -x509 -days 365 -key server.key -out server.crt
有啥不同的?

sign.sh都做了啥(我没有,所以看不到),和
openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365
有啥区别?
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#2

帖子 冲浪板 » 2009-01-02 18:54

感觉
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt -CAcreateserial
才是对的,做了一次,果然,因为这个是把ca的信息加到server.crt里了。(要的就是用ca给这个server.csr签名、签发)

可那openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365又是做了啥? "-clrext"去除了扩展项’
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#3

帖子 冲浪板 » 2009-01-03 22:31

自签名证书,自己给自己签的server、client证书,自签名,自己作CA...
什么乱七八糟的,概念可能和你想的不一样哦;
openssl req 本指令用来创建和处理PKCS#10格式的证书.它还能够建立自签名证书,做Root CA.
openssl req -new ... 主要是作出请求文件csr的;
openssl req -new -x509 ... 主要是做自签名的crt的,做出自己的Root CA(证)

openssl x509 本指令是一个功能很丰富的证书处理工具。可以用来显示证书的内容,转换其格式,给CSR签名等等
openssl x509 ...-signkey filename ... 本指令可以用来处理CSR和给证书签名,就象一个CA; (应该加扩展项目)
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial 由CA签发个证书,最好加扩展项目来控制

作CA机器,又不同,因为还要维护datebase...
所以签发crt,还是用CA.sh -newca建立环境,用openssl ca ...来签发(或CA.sh -sign)。

客户,个人...
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

未完...

详见http://www.chinaunix.net/jh/13/478901.html吧
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#4

帖子 冲浪板 » 2009-01-06 22:31

难道非要回到win、看winer的文章,才方便,才明白?

http://www.blogjava.net/sham2k/articles/163985.html
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#5

帖子 冲浪板 » 2009-01-11 16:37

头像
yj98
帖子: 65
注册时间: 2008-05-06 17:17
来自: 安徽宿州
送出感谢: 0
接收感谢: 0
联系:

Re: SSL自签名证书问题

#6

帖子 yj98 » 2009-01-11 21:34

在建立的https://myhost打开后.老是提示"尚未验证网站的身份"..

该如何做呢? :em20 难道必须要去买Versign签名? 太贵了..

有办法么?

自签的(不是自己的CA签的),subject和issuer相同,那么就认为是ca根证,装了就没那提示了;
或者用自己的ca签一下,再装上自己的这个根。

另外,client这边server证书用装么?不显示的在装也ok,但是为安全来说,装还是不装?
还有谁说的csr,crt,key都要400权限?那样我还怎么签?怎么work?
上次由 yj98 在 2009-01-12 21:31,总共编辑 1 次。
学习永无止尽! ~linux小菜鸟!
头像
yj98
帖子: 65
注册时间: 2008-05-06 17:17
来自: 安徽宿州
送出感谢: 0
接收感谢: 0
联系:

Re: SSL自签名证书问题

#7

帖子 yj98 » 2009-01-11 21:43

不知道我理解的对不对. ?

如果你的证书没到专门受信任的第三方证书颁发机构的确认. 那么在客户使用浏览器打开时就会始终提示"尚未验证网站身份"..

而像支付宝这样的网站已经购买申请了受信任的证书颁发机构的认证, 所以客户打开其站点从而不会提示"尚未验证"

至于我们这样的个人站点,如果你不花钱申请认证, 那做不做上面的:"自签名证书,自己给自己签的server、client证书,自签名,自己作CA" 都无所谓. ???

理解的对否?
学习永无止尽! ~linux小菜鸟!
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#8

帖子 冲浪板 » 2009-01-11 22:09

想做得比较像,就做出个CA,再像就要保持数据库,已加强信任感;
若仅仅自己签自己,那么那么就只有一个站点有证书了,说信任后以后就不会再看到提示;
若有CA,哪怕是自己的,那么把根证书装在客户那里,那么以后这个ca签的就都通过,没有提示的;
也就是因为有这个根证,客户证书才可以被认证。

没CA的(自己签自己的),都有一个“自己签自己的提示”,但是记得有一次是全绿色的对钩的,可能是把这个证书装到可信任的签发机构了吧。
头像
pityonline
帖子: 3864
注册时间: 2008-12-09 12:44
来自: 北京
送出感谢: 0
接收感谢: 2 次
联系:

Re: SSL自签名证书问题

#9

帖子 pityonline » 2010-07-11 20:40

从坟里挖出这个贴子来,但最终没看懂……
Pity is the bomp!
活着就是折腾!生命不息,折腾不止!
看这帮家伙在干什么?@pityonline/u
Dropbox+Vps+PC 跑起来了!这是邀请链接
delectate
帖子: 18311
注册时间: 2008-01-09 22:41
送出感谢: 0
接收感谢: 6 次

Re: SSL自签名证书问题

#10

帖子 delectate » 2010-07-11 20:52

先去吃饭了,一会回来再解决
头像
pocoyo
论坛版主
帖子: 25878
注册时间: 2008-03-25 15:49
来自: 谁知道?
送出感谢: 5 次
接收感谢: 9 次
联系:

Re: SSL自签名证书问题

#11

帖子 pocoyo » 2010-07-11 21:07

pityonline 写了:从坟里挖出这个贴子来,但最终没看懂……
原来我推错了 :em04
delectate
帖子: 18311
注册时间: 2008-01-09 22:41
送出感谢: 0
接收感谢: 6 次

Re: SSL自签名证书问题

#12

帖子 delectate » 2010-07-11 21:46

大概看了下,好复杂好纠结

怎么说好呢,简单地说,就是自己签ca,签证书,服务器与浏览器间通信也是加密的,而且强度等可以自己选择,自由性比较高

浏览器请求到证书,就一级一级向上找签发,直到找到root,如果root是受信任的,那么没有任何提示,直接加密。但是由于自己签发的ca不是浏览器信任的,所以你的证书 浏览器不会信任,所有浏览器都会提示证书出现问题,你需要很大的耐心去和客户解释证书问题

尤其是chromium,最为过分,红色背景,弄得好想网站被攻击似的,所以我的建议是:要不就不要弄证书,要不就买正宗的ssl证书,尽量不要自己签
头像
冲浪板
论坛版主
帖子: 7466
注册时间: 2007-05-06 8:19
送出感谢: 0
接收感谢: 5 次

Re: SSL自签名证书问题

#13

帖子 冲浪板 » 2010-07-11 22:03

就是用可信方签过的根证书来签自己的证书,做前不是要自己先测试测试嘛;

根证书有这个好处,若你有不止一个证书的话,那么被自己的ca签过的都会被承认;

现在就是没做过撤消证书了....
头像
bobobo80
帖子: 841
注册时间: 2007-12-09 22:36
送出感谢: 0
接收感谢: 0
联系:

Re: SSL自签名证书问题

#14

帖子 bobobo80 » 2010-07-11 22:05

pityonline 写了:从坟里挖出这个贴子来,但最终没看懂……
很仔细的从楼顶看下来,没看懂,然后看到这儿,才发现:老帖了。 :em06
一向很正直,向来不正经。
My Blog:http://bobobo80.com/
Follow me
头像
pityonline
帖子: 3864
注册时间: 2008-12-09 12:44
来自: 北京
送出感谢: 0
接收感谢: 2 次
联系:

Re: SSL自签名证书问题

#15

帖子 pityonline » 2010-07-11 22:13

等于自己生成的ssl证书不购买认证过的证书都是白搭了……

以前startssl.com可以申请一年免费的证书,但今天我申请两次都不成功,那网站也改版了,跟网上教程不一样了……
Pity is the bomp!
活着就是折腾!生命不息,折腾不止!
看这帮家伙在干什么?@pityonline/u
Dropbox+Vps+PC 跑起来了!这是邀请链接
回复

回到 “服务器基础应用”