自学内容网 自学内容网
自学内容网 > 正文

openssl 生成证书 windows导入证书

🕗 发布于 2025-01-22 08:57 ssl  网络协议  网络  openssl  

初级代码游戏的专栏介绍与文章目录-CSDN博客

我的github:codetoys,所有代码都将会位于ctfc库中。已经放入库中我会指出在库中的位置。

这些代码大部分以Linux为目标但部分代码是纯C++的,可以在任何平台上使用。

源码指引:github源码指引_初级代码游戏的博客-CSDN博客

目录

证书和私钥

CA证书

需要谁的CA证书

生成CA、密钥、证书的全套操作

去掉私钥密码

导入到windows证书管理

为什么导入成功却无法使用

生成pfx证书(带私钥)

导入CA证书

浏览器选择证书

        大部分情况下我们需要用到CA证书(和私钥)、服务器证书(和私钥)、客户端证书(和私钥),有时候一些人不是太理解这几个东西,稍微解释一下。

证书和私钥

        首先必要知道公开密钥算法的奇妙之处:一对密钥,互相解密。证书就是盖了公章的公钥,可以发布给全世界,私钥你自己藏好。

CA证书

        相当于公安部,CA签名的证书就相当于公安部盖章的身份证,是可信的。CA的证书会由操作系统预置,作为信任体系的基础。

        在windows的证书管理中,这部分叫做“受信任的根证书颁发机构”。在openssl调用中,这一般由CA证书参数指定,是一个文件或一个目录位置,里面放置了所有信任的根证书。

需要谁的CA证书

        通讯时需要确认对方的身份,对方提供的证书是否可信?这依据的是对方的CA证书是否可信,所以,服务器调用时需要的CA证书是客户端的,客户端需要的CA证书是服务器的,为了简单起见,我们一般用服务器的CA证书签发客户端证书给客户端用,这样就没有区别了。

生成CA、密钥、证书的全套操作

        直接执行即可生成全套:

#创建CA证书私钥
openssl genrsa -aes256 -out ca.key 2048
#请求证书
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CA/emailAddress=admin@test.com"
#自签署证书
openssl x509 -req -days 36500 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer

#创建服务器私钥
openssl genrsa -aes256 -out server.key 2048
#请求证书
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=admin@test.com"
#使用CA证书签署服务器证书
openssl x509 -req -days 36500 -sha256 -extensions v3_req  -CA  ca.cer -CAkey ca.key  -CAserial ca.srl  -CAcreateserial -in server.csr -out server.cer

#生成客户端私钥
openssl genrsa -aes256 -out client.key 2048
#申请证书
openssl req -new -sha256 -key client.key  -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=admin@test.com"
#使用CA证书签署客户端证书
openssl x509 -req -days 36500 -sha256 -extensions v3_req  -CA  ca.cer -CAkey ca.key  -CAserial ca.srl  -CAcreateserial -in client.csr -out client.cer

去掉私钥密码

        密钥名称需要替换:

#去掉私钥密码
openssl rsa -in password.key -out nopassword.key

导入到windows证书管理

为什么导入成功却无法使用

        直接导入.cer证书是没用的,因为.cer只有证书没有私钥,单独导入.key格式不识别,合并为.pem也不行,还是只认证书不认私钥。没有私钥就无法进行双向认证的加密通讯。

        在证书管理查看证书,正确的包含私钥的证书如下:

        如果没有私钥就没有红框内的内容。 

生成pfx证书(带私钥)

#生成用于windows的pfx证书(pem格式无法导入私钥)
openssl pkcs12 -export -out client.pfx -inkey client.key -in client.cer

        导入pfx格式就没问题了。

导入CA证书

        如果提示证书无法验证,那是因为根证书不受信任,将ca.cer导入到“受信任的根证书颁发机构”就可以了。因为不需要使用CA证书签发新证书,所以不需要CA的私钥文件。

浏览器选择证书

        服务器要求双向认证时浏览器会提示选择证书:

        如果证书没有私钥,是不会显示在这里的。

(这里是文档结束) 


原文地址:https://blog.csdn.net/2301_77171572/article/details/145203177

免责声明:本站文章内容转载自网络资源,如侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • 数据清洗新利器:自动化数据清洗工具的探秘

    自动化数据清洗工具的出现,使得数据清洗变得更加高效和便捷。无论是Pandas这样的经典工具,还是DataCleaner这样的新锐工具,都为我们提供了强大的数据清洗功能。在实际应用中,选择合适的工具和方

    阅读更多2025-01-22
  • 【字节青训营-2】:深入Git研发流程与Github Flow简单实战

    【字节青训营-2】:深入Git研发流程与GithubFlow简单实战

    阅读更多2025-01-22
  • DP背包问题——01背包

    一文搞懂01背包

    阅读更多2025-01-22
  • yolo系列模型为什么坚持使用CNN网络?

    YOLO系列模型在选择网络结构时坚守CNN是有其深刻原因的。CNN的局部特征提取能力、计算效率以及部署便捷性等因素使得它在实时目标检测任务中具有天然的优势。然而,随着Transformer在计算机视觉

    阅读更多2025-01-22
  • 常见Arthas命令与实践

    Arthas 官网:https://arthas.aliyun.com/doc/,官方文档对 Arthas 的每个命令都做出了介绍和解释,并且还有在线教程,方便学习和熟悉命令。的 IDEA 插件。这是

    阅读更多2025-01-22
  • 25.1.21学习内容

    寒假预备役第一次比赛补题的练习。

    阅读更多2025-01-22
  • 【Linux】多线程(二)

    本文全面探讨了多线程编程中的经典问题及其解决方案。首先,深入解析了生产者消费者模型,并展示了基于BlockingQueue的实现。随后,回顾了POSIX信号量的概念,并通过环形队列的生产消费模型展示了

    阅读更多2025-01-22
  • 三分钟简单了解HTML的一些语句

    3.background就会将这个图片把页面铺满,(有时会覆盖背景图片,如下图所示)10.如果使用绝对路径显示照片,那么只能由本机才能打开(shift+浏览器图标)1.图片建议建立一个文件夹如下图所示

    阅读更多2025-01-22
  • XSS靶场通关详解

    所以可以尝试使用单引号进行闭合,后面的也不能出现标签了(因为标签的<>会被编码)单引号闭合属性之后可以对input标签单独写一个属性进行弹窗。查看源代码发现输出的str被编码了,但是inp

    阅读更多2025-01-22
  • 蓝桥杯单片机第六届省赛

    这套题其实一开始做的时候有点发懵,一直陷入到一个巨大的漏洞里面,主要是在10次数据采集上面,说白了就是练得少,太菜了做完这几台题就会发现,按键是中心,也就是按键控制所有,思路一定要打通这一套题的难度不

    阅读更多2025-01-22
自学内容网
Copyright © 2015-2025