根据文章,可以
openssl genrsa -des3 -out ca.key 1024
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后
openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
sign.sh server.csr
得到server.crt
既然ca.crt可以那样做出,那么
openssl req -new -x509 -days 365 -key server.key -out server.crt
有啥不同的?
sign.sh都做了啥(我没有,所以看不到),和
openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365
有啥区别?
SSL自签名证书问题
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
感觉
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt -CAcreateserial
才是对的,做了一次,果然,因为这个是把ca的信息加到server.crt里了。(要的就是用ca给这个server.csr签名、签发)
可那openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365又是做了啥? "-clrext"去除了扩展项’
openssl x509 -req -days 365 -CA ca.crt -CAkey ca.key -in server.csr -out server.crt -CAcreateserial
才是对的,做了一次,果然,因为这个是把ca的信息加到server.crt里了。(要的就是用ca给这个server.csr签名、签发)
可那openssl x509 -req -in server.scr -out server.crt -signkey ca.key -days 365又是做了啥? "-clrext"去除了扩展项’
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
自签名证书,自己给自己签的server、client证书,自签名,自己作CA...
什么乱七八糟的,概念可能和你想的不一样哦;
openssl req 本指令用来创建和处理PKCS#10格式的证书.它还能够建立自签名证书,做Root CA.
openssl req -new ... 主要是作出请求文件csr的;
openssl req -new -x509 ... 主要是做自签名的crt的,做出自己的Root CA(证)
openssl x509 本指令是一个功能很丰富的证书处理工具。可以用来显示证书的内容,转换其格式,给CSR签名等等
openssl x509 ...-signkey filename ... 本指令可以用来处理CSR和给证书签名,就象一个CA; (应该加扩展项目)
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial 由CA签发个证书,最好加扩展项目来控制
作CA机器,又不同,因为还要维护datebase...
所以签发crt,还是用CA.sh -newca建立环境,用openssl ca ...来签发(或CA.sh -sign)。
客户,个人...
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
未完...
详见http://www.chinaunix.net/jh/13/478901.html吧
什么乱七八糟的,概念可能和你想的不一样哦;
openssl req 本指令用来创建和处理PKCS#10格式的证书.它还能够建立自签名证书,做Root CA.
openssl req -new ... 主要是作出请求文件csr的;
openssl req -new -x509 ... 主要是做自签名的crt的,做出自己的Root CA(证)
openssl x509 本指令是一个功能很丰富的证书处理工具。可以用来显示证书的内容,转换其格式,给CSR签名等等
openssl x509 ...-signkey filename ... 本指令可以用来处理CSR和给证书签名,就象一个CA; (应该加扩展项目)
openssl x509 -req -in req.pem -extfile openssl.cnf -extensions v3_usr -CA cacert.pem -CAkey key.pem -CAcreateserial 由CA签发个证书,最好加扩展项目来控制
作CA机器,又不同,因为还要维护datebase...
所以签发crt,还是用CA.sh -newca建立环境,用openssl ca ...来签发(或CA.sh -sign)。
客户,个人...
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
未完...
详见http://www.chinaunix.net/jh/13/478901.html吧
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
另几个有用的文:
Apache HTTP Server 版本2.2:
http://lamp.linux.gov.cn/Apache/ApacheM ... echainfile
http://bbs.linuxpk.com/viewthread.php?t ... typeid%3D7
Apache HTTP Server 版本2.2:
http://lamp.linux.gov.cn/Apache/ApacheM ... echainfile
http://bbs.linuxpk.com/viewthread.php?t ... typeid%3D7
-
yj98
- 帖子: 65
- 注册时间: 2008-05-06 17:17
- 来自: 安徽宿州
- 联系:
Re: SSL自签名证书问题
在建立的https://myhost打开后.老是提示"尚未验证网站的身份"..
该如何做呢?
难道必须要去买Versign签名? 太贵了..
有办法么?
自签的(不是自己的CA签的),subject和issuer相同,那么就认为是ca根证,装了就没那提示了;
或者用自己的ca签一下,再装上自己的这个根。
另外,client这边server证书用装么?不显示的在装也ok,但是为安全来说,装还是不装?
还有谁说的csr,crt,key都要400权限?那样我还怎么签?怎么work?
该如何做呢?
难道必须要去买Versign签名? 太贵了.. 有办法么?
自签的(不是自己的CA签的),subject和issuer相同,那么就认为是ca根证,装了就没那提示了;
或者用自己的ca签一下,再装上自己的这个根。
另外,client这边server证书用装么?不显示的在装也ok,但是为安全来说,装还是不装?
还有谁说的csr,crt,key都要400权限?那样我还怎么签?怎么work?
上次由 yj98 在 2009-01-12 21:31,总共编辑 1 次。
学习永无止尽! ~linux小菜鸟!
-
yj98
- 帖子: 65
- 注册时间: 2008-05-06 17:17
- 来自: 安徽宿州
- 联系:
Re: SSL自签名证书问题
不知道我理解的对不对. ?
如果你的证书没到专门受信任的第三方证书颁发机构的确认. 那么在客户使用浏览器打开时就会始终提示"尚未验证网站身份"..
而像支付宝这样的网站已经购买申请了受信任的证书颁发机构的认证, 所以客户打开其站点从而不会提示"尚未验证"
至于我们这样的个人站点,如果你不花钱申请认证, 那做不做上面的:"自签名证书,自己给自己签的server、client证书,自签名,自己作CA" 都无所谓. ???
理解的对否?
如果你的证书没到专门受信任的第三方证书颁发机构的确认. 那么在客户使用浏览器打开时就会始终提示"尚未验证网站身份"..
而像支付宝这样的网站已经购买申请了受信任的证书颁发机构的认证, 所以客户打开其站点从而不会提示"尚未验证"
至于我们这样的个人站点,如果你不花钱申请认证, 那做不做上面的:"自签名证书,自己给自己签的server、client证书,自签名,自己作CA" 都无所谓. ???
理解的对否?
学习永无止尽! ~linux小菜鸟!
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
想做得比较像,就做出个CA,再像就要保持数据库,已加强信任感;
若仅仅自己签自己,那么那么就只有一个站点有证书了,说信任后以后就不会再看到提示;
若有CA,哪怕是自己的,那么把根证书装在客户那里,那么以后这个ca签的就都通过,没有提示的;
也就是因为有这个根证,客户证书才可以被认证。
没CA的(自己签自己的),都有一个“自己签自己的提示”,但是记得有一次是全绿色的对钩的,可能是把这个证书装到可信任的签发机构了吧。
若仅仅自己签自己,那么那么就只有一个站点有证书了,说信任后以后就不会再看到提示;
若有CA,哪怕是自己的,那么把根证书装在客户那里,那么以后这个ca签的就都通过,没有提示的;
也就是因为有这个根证,客户证书才可以被认证。
没CA的(自己签自己的),都有一个“自己签自己的提示”,但是记得有一次是全绿色的对钩的,可能是把这个证书装到可信任的签发机构了吧。
-
pityonline
- 帖子: 3864
- 注册时间: 2008-12-09 12:44
- 来自: 北京
- 联系:
Re: SSL自签名证书问题
从坟里挖出这个贴子来,但最终没看懂……
-
delectate
- 帖子: 18311
- 注册时间: 2008-01-09 22:41
Re: SSL自签名证书问题
先去吃饭了,一会回来再解决
-
delectate
- 帖子: 18311
- 注册时间: 2008-01-09 22:41
Re: SSL自签名证书问题
大概看了下,好复杂好纠结
怎么说好呢,简单地说,就是自己签ca,签证书,服务器与浏览器间通信也是加密的,而且强度等可以自己选择,自由性比较高
浏览器请求到证书,就一级一级向上找签发,直到找到root,如果root是受信任的,那么没有任何提示,直接加密。但是由于自己签发的ca不是浏览器信任的,所以你的证书 浏览器不会信任,所有浏览器都会提示证书出现问题,你需要很大的耐心去和客户解释证书问题
尤其是chromium,最为过分,红色背景,弄得好想网站被攻击似的,所以我的建议是:要不就不要弄证书,要不就买正宗的ssl证书,尽量不要自己签
怎么说好呢,简单地说,就是自己签ca,签证书,服务器与浏览器间通信也是加密的,而且强度等可以自己选择,自由性比较高
浏览器请求到证书,就一级一级向上找签发,直到找到root,如果root是受信任的,那么没有任何提示,直接加密。但是由于自己签发的ca不是浏览器信任的,所以你的证书 浏览器不会信任,所有浏览器都会提示证书出现问题,你需要很大的耐心去和客户解释证书问题
尤其是chromium,最为过分,红色背景,弄得好想网站被攻击似的,所以我的建议是:要不就不要弄证书,要不就买正宗的ssl证书,尽量不要自己签
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
就是用可信方签过的根证书来签自己的证书,做前不是要自己先测试测试嘛;
根证书有这个好处,若你有不止一个证书的话,那么被自己的ca签过的都会被承认;
现在就是没做过撤消证书了....
根证书有这个好处,若你有不止一个证书的话,那么被自己的ca签过的都会被承认;
现在就是没做过撤消证书了....
-
bobobo80
- 帖子: 841
- 注册时间: 2007-12-09 22:36
- 联系:
Re: SSL自签名证书问题
很仔细的从楼顶看下来,没看懂,然后看到这儿,才发现:老帖了。pityonline 写了:从坟里挖出这个贴子来,但最终没看懂……
-
pityonline
- 帖子: 3864
- 注册时间: 2008-12-09 12:44
- 来自: 北京
- 联系:
Re: SSL自签名证书问题
等于自己生成的ssl证书不购买认证过的证书都是白搭了……
以前startssl.com可以申请一年免费的证书,但今天我申请两次都不成功,那网站也改版了,跟网上教程不一样了……
以前startssl.com可以申请一年免费的证书,但今天我申请两次都不成功,那网站也改版了,跟网上教程不一样了……
-
冲浪板
- 论坛版主
- 帖子: 7513
- 注册时间: 2007-05-06 8:19
Re: SSL自签名证书问题
这个是我每年做一次要看的,呵呵,不看就会忘记是如何做的了。
因为证书的有效期就是一年;
不购买的就只可以在小范围内使用了;自己不做CA证书的话,就总会被提示,而做了的话,装上根证书,嘿嘿
因为证书的有效期就是一年;
不购买的就只可以在小范围内使用了;自己不做CA证书的话,就总会被提示,而做了的话,装上根证书,嘿嘿