共计 1529 个字符,预计需要花费 4 分钟才能阅读完成。
openssl 自建 CA 默认签署的是单域名证书,因为单台服务器上有多个 https 域名,签署多域名证书能方便很多,今天找了很久,除了一些卖证书的网站上有 scr 工具能加“使用者备用名称”,都没有找到 openssl 相关的添加方法。
后来看 openssl.cnf 找到一个方法,这里记录一下:
!!这个方法比较笨重,如果有其他方法,欢迎留言给我,感激不尽。
主要修改在 openssl.cnf
将文件中原来的
commonName = Common Name (eg, your name or your server\’s hostname)
commonName_max = 64
修改为
0.commonName = Common Name (eg, your name or your server\’s hostname)
0.commonName_max = 64
就是在前面加了个“0.”,好了,如果要添加其他域名,只需要再增加相同的记录,前面的序号依次递增即可:
0.commonName = Common Name (eg, your name or your server\’s hostname)
0.commonName_max = 64
1.commonName = other Common Name
1.commonNAme_max = 64
……
其他的步骤:
openssl.cnf 中会要求部分文件及目录存在:
[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}
[root@localhost]# touch CA/index.txt
[root@localhost]#echo 00 > CA/serial
1. 生成 ca.key 并自签署
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2. 生成 server.key(名字不重要)
openssl genrsa -out server.key 2048
3. 生成证书签名请求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 就是在这一步填写的,每次一个,如果没有那么多,可以直接回车
4. 使用自签署的 CA,签署 server.scr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
# 输入第一步设置的密码,一直按 y 就可以了
server.crt server.key 就是 web 服务器中使用的文件。
NGINX 双向认证
如果要做 NGINX 客户端证书验证的话,重复 2、3、4,并执行下面命令生成个人证书
openssl pkcs12 -export -inkey server.key -in server.crt -out server.p12
将个人证书导入 pc,同时在 nginx ssl 基础上增加设置:
ssl_verify_client on;
ssl_client_certificate ca.crt;
另外:nginx 的双向认证是相对独立的,你可以在验证 server 端用你购买的 ssl 证书,然后在验证客户端用自签名的 ca 和证书。
通过 OpenSSL 提供 FTP+SSL/TLS 认证功能,并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htm
OpenSSL 的详细介绍 :请点这里
OpenSSL 的下载地址 :请点这里