网站构成三要素,鹰潭网站建设,车墩做网站公司,海南省建设标准定额网站熟悉下相关概念
x509#xff1a;证书标准pem和der#xff1a;两种#xff08;包括公私钥、证书签名请求、证书等内容的#xff09;的格式#xff0c;前者是文本形式#xff0c;linux常用#xff0c;后者是二进制形式#xff0c;windows常用#xff0c;仅仅是格式证书标准pem和der两种包括公私钥、证书签名请求、证书等内容的的格式前者是文本形式linux常用后者是二进制形式windows常用仅仅是格式不表明内容如果作为后缀就像html起的效果一样。有时候用pem做公钥的后缀crt和cer常见的两种证书后缀名前者大多数情况为pem格式后者大多数情况为der格式csr证书签名请求文件后缀一般都是.csr包含了公钥、用户名等信息key常见的私钥的后缀名 创建私钥公钥 openssl genpkey -algorithm RSA -out registry_private.key -pkeyopt rsa_keygen_bits:2048 openssl rsa -in registry_private.key -pubout -out registry_public.key 生产一个公钥信息文件 创建签名申请 生成证书签名请求 (CSR) 创建一个配置文件内容如下:
[rootmaster01 pki]# cat crs.conf [req] distinguished_name req_distinguished_name req_extensions v3_req prompt no
[req_distinguished_name] C CN ST CKG L CKG O ITTest OU IT CN 192.168.2.222
[v3_req] keyUsage critical, digitalSignature, keyEncipherment extendedKeyUsage serverAuth subjectAltName alt_names
[alt_names]
DNS.1master00.com DNS.2bqs.master00.com IP.1 192.168.2.222 # 这些dns名和ip 就是 表示后面生成的证书就是用来验证这些地址如果生成的证书用于其他地址的客户端就认为不证书不合法。
执行命令生成申请文件
openssl req -new -key registry_private.key -out registry.csr -config crs.conf
创建证书
生成自签名证书
openssl x509 -req -in registry.csr -signkey registry_private.key -out registry.crt -days 3650 -extfile crs.conf -extensions v3_req
-days 3650 指定证书的有效天数
查看证书信息 openssl pkey -in registry_private.key -text -noout 查看生成后的私钥信息 openssl x509 -in registry.crt -text -noout 查看证书
检验证书是否有某个根证书签名 openssl verify -CAfile rootCA.crt -CAfile rootCA.crt 指定了根证书文件。 server.crt 是待验证的证书文件。
输出 server.crt: OK 说明server.crt就是被rootCA.crt签名的
