参考文章
How to Create Self-Signed Certificates using OpenSSL
证书链中的一个或多个中间证书丢失 的解决办法:导入中间证书
openssl-pkcs12
HTTP转HTTPS—使用OpenSSL创建自签名SSL证书以及Tomcat配置SSL证书实战
OpenSSL Req命令
openssl x509(签署和自签署)
使用 openssl 生成证书
openssl 查看证书细节
gmssl/openssl 生成V3证书时添加附加项(extendedKeyUsage 和 keyUsage )
使用openssl生成证书、cer文件、key公私钥、pem公私钥
私钥、公钥、签名、证书
DER、CRT、CER、PEM格式的证书及转换
X.509 数字证书中的扩展项 subjectAltName
openssl req(生成证书请求和自建CA)
遇见的问题
在windows 服务器上导入服务器证书的时候,碰到错误提示 :证书链中的一个或多个中间证书丢失
解决方法一:WIN+R 输入mmc,导入中间证书
解决方法二:在使用openssl合成pfx证书时,将中间证书一起合成,组成证书链;openssl pkcs12 ... -chain ...
解决方法三:CRT证书链合成,Server和CA的CRT合并成一个ALL.CRT,适用一些只能指定一个证书文件的情况:cat Server.crt CA.crt > ALL.crt
生成脚本
#! /bin/bash
# V1证书 移除此参数:-extfile x509.ext -extensions ca
# https://www.openssl.org/docs/man3.0/man1/openssl-x509.html#-extfile
# https://***/openssl-x509.html#-req
cat >x509.ext <<EOF
[ ca ]
# X509 extensions for a ca
keyUsage = critical, cRLSign, keyCertSign
basicConstraints = CA:TRUE, pathlen:0
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer:always
[ server ]
# X509 extensions for a server
keyUsage = critical,digitalSignature,keyEncipherment
extendedKeyUsage = serverAuth,clientAuth
basicConstraints = critical,CA:FALSE
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid,issuer:always
EOF
# CA
openssl req -new -sha256 -nodes -newkey rsa:2048 \
-subj "//C=CN/C=CN/ST=ZJ/L=HZ/O=TEST/OU=TEST/CN=TESTCA" \
-keyout CA.key \
-out CA.csr \
openssl x509 -req -sha256 -days 3650 \
-extfile x509.ext -extensions ca \
-in CA.csr \
-signkey CA.key \
-out CA.pem
# # CAS
# openssl req -new -sha256 -nodes \
# -newkey rsa:2048 \
# -subj "//C=CN/C=CN/ST=ZJ/L=HZ/O=TEST/OU=TEST/CN=CASSERVER" \
# -keyout CAS.key \
# -out CAS.csr \
# openssl x509 -req -sha256 \
# -CA CA.pem -CAkey CA.key \
# -days 3650 -CAcreateserial -CAserial CA.srl \
# -extfile x509.ext -extensions server \
# -in CAS.csr \
# -out CAS.pem