针对由 CA 进行签名的证书生成新的专用密钥和 CSR

已于 2022-07-25 15:23:00 修改
阅读量825 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: 安全
于 2022-07-25 15:13:05 首次发布
原文链接:https://www.ibm.com/docs/zh/bigfix-protection/9.0.0?topic=SS2TKN_9.0.0/com.ibm.tivoli.tem.doc_9.0/SUA_9.0/com.ibm.license.mgmt.doc/security/t_generate_certificate_CA.html
本文指导如何从已签名CA证书出发,生成新的专用密钥和CSR。涉及 openssl 命令行操作,包括创建专用CA、CSR签名及导入服务器。适合初学者理解PKI流程和专用CA的使用。

针对由 CA 进行签名的证书生成新的专用密钥和 CSR

对于由认证中心 (CA) 进行签名的证书,服务器随附了专用密钥以及已签名的证书。您可以针对由 CA 进行签名的证书生成新的专用密钥和证书签名请求 (CSR)。您可能想针对由 CA 进行签名的证书生成新的专用密钥和 CSR,例如,在尚未建立公用密钥基础结构 (PKI) 时,情况就是如此。

关于此任务

您可以将此 CSR 发送给外部 CA 以进行签名,也可以创建专用 CA 并使用专用 CA 对 CSR 进行签名。您可以在任何计算机上创建专用 CA,前提是其操作系统支持 openSSL。

使用外部 CA 的优点是,在缺省情况下,已知公用 CA 的根证书将导入到流行的 Web 浏览器中。使用专用 CA 的优点是不依赖于外部实体提供证书,并且没有成本。

过程

  1. 通过打开命令行控制台并输入下列命令,生成新的专用密钥和证书签名请求 (CSR): 
    openssl genrsa -out key_name.key key_strength -sha256
    注: 添加 -des3 选项可以生成受密码保护的密钥,例如: 
    openssl genrsa -des3 -out key_name.key key_strength -sha256
openssl req -new -key key_name.key -out csr_name.csr
    其中:

    csr_name

    是要创建的 CSR 文件的名称。

    key_name

    是新密钥的名称。

    key_strength

    是密钥的强度,以位数计。

    sha256

    是签名散列算法。

    例如:

    openssl genrsa -out privateKey.key 2048 -sha256

openssl req -new -key privateKey.key -out csr.csr
    这将创建证书请求。此 CSR 用作已签名证书的临时占位符,直到您在服务器设置面板中将该证书导入到密钥库为止。现在,该证书必须由 CA 进行签名,才能完成为服务器生成已签名证书的过程。您可以将此 CSR 发送给外部 CA 进行签名,也可以创建专用 CA。
  2. 可选: 创建专用 CA 并对 CSR 进行签名。如果您打算创建并使用专用 CA,而不使用外部 CA,请完成以下过程。
    1. 通过运行下列命令,创建 CA 专用密钥和 CSR: 
      mkdir ca

openssl req -new -newkey rsa:key_strength -nodes -out path_to_csr.csr -keyout path_to_keyfile.key -sha256
      其中:

      key_strength

      是密钥的强度,以位数计。

      path_to_csr

      是 CSR 的路径。

      path_to_keyfile

      是 CA 密钥文件的路径。

      示例: 
      openssl req -new -newkey rsa:2048 -nodes -out ca/ca.csr -keyout ca/ca.key -sha256
    2. 对 CA CSR 进行签名,以便为新的专用 CA 构建证书: 
      openssl x509 -signkey path_to_keyfile.key -days 
number_of_days -req -in path_to_csr.csr -out path_to_ca_cert.arm -sha256
      其中:

      path_to_keyfile

      是 CA 密钥文件的路径。

      number_of_days

      是此证书的有效天数。

      path_to_ca_cert

      是 CA 证书文件的路径。

      示例: 
      openssl x509 -signkey ca/ca.key -days 7300 -req -in ca/ca.csr -out ca/ca.arm -sha256

    3. 对此 CSR 进行签名。 仅当使用专用 CA 时,才需要对 CSR 进行签名。

      注: 如果使用外部 CA,那么必须将此 CSR 发送给 CA 管理员以进行签名。

      运行以下命令,以便对此 CSR 进行签名: 
      openssl x509 -req -days 7300 -in path_to_csr -CA ca/ca.arm -CAkey path_to_keyfile -out cert.arm -set_serial 01 -sha256
      其中:

      path_to_csr

      是您创建的证书签名请求文件的路径。

      path_to_keyfile

      是您创建的 CA 密钥文件的路径。

      cert.arm

      是生成的服务器证书。

      ca.arm

      是必须用于对此 CSR 进行签名的 CA 证书。

      例如: 
      openssl x509 -req -days 7300 -in csr.csr -CA ca/ca.arm -CAkey ca/ca.key -out cert.arm -set_serial 01 -sha256
    新创建的文件 ca.arm 包含专用 CA 的根证书。现在,可以在服务器设置面板中导入证书 cert.arm 和专用密钥 privateKey.key。
jgw2008
关注
Linux(openssl):创建CA证书,并用其对CSR进行签名
风静如云的博客
11-29 1643
输入2.2中的server私钥密码,创建签名后的server证书文件server.cer。输入2.2中的server私钥密码,会创建CSR文件server.csr。输入私钥的密码后,在ca目录下生成ca证书文件ca.cer。输入两次密码,会创建server私钥文件server.key。输入私钥的密码后,在ca目录下生成csr文件ca.csr。输入两次密码后,在ca目录下生成了私钥文件ca.key。C-----国家(Country Name)1.1创建CA证书目录ca,并进入ca
【vSphere 8 自签名证书】企业 CA 签名证书替换 vSphere Machine SSL 证书Ⅰ—— 生成 CSR
VMware, Windows, Linux, Cisco, Container, Kubernetes, Kali
10-18 2141
本篇博文主要描述了如何在 vCenter Server 系统中使用实用工具 certificate-manager 生成签名证书需要的证书签名请求 CSR。适用的 vSphere 版本为 vSphere 7.0.x vSphere 8.0.x
openssl证书生成管理 证书签名请求(CSR)的创建、自签名证书CA签名证书生成,以及证书内容的查看 生成签名的根证书颁发机构(CA)的密钥证书 TLS/SSL双向认证 证书格式
chenhao0568的专栏
02-22 5854
使用OpenSSL生成证书的过程实质上是创建一对密钥(公钥私钥),并通过CSR将公钥及其关联的身份信息提交给CA进行签名。在自签名的场景中,持有私钥的实体自己充当CA的角色,直接对证书进行签名。这个过程确保了证书的公钥可以被信任,因为它是由一个可信的实体(CA证书的持有者本人)签名的。自签名证书虽然在某些用途(如内部测试)中非常有用,但它们没有由公认的CA签发的证书那样的广泛信任度。在公开或商业环境中,通常会从一个公认的CA处购买证书。信任链。
生成证书请求CSR
RTC hacker
01-03 5964
本文原创自 http://blog.csdn.net/voipmaker  转载注明出处。 本系列文章分为三篇,主要介绍构建自己的证书颁发服务,生成证书请求,以及通过自己构建的CA生成证书请求签名并最终应用到服务。 创建csr请求,然后通过CA签名生成证书即可使用 mkdir /home/cg/mycert cd /home/cg/mycert/ mkdir privat
每种中间件需要的证书格式区别
lwy572039941的博客
09-28 1061
.SSL证书 (1)概念 SSL证书(SSL Certificates)是HTTP明文协议升级HTTPS加密协议必备的数字证书。它在客户端(浏览器)与服务端(网站服务器)之间搭建一条安全的加密通道,对两者之间交换的信息进行加密,确保传输数据不被泄露或篡改。 网站部署全球信任的SSL证书,浏览器将直观展示网站认证信息安全标识,访问地址由”Http”明文访问,变成了”Https“加密访问,显示醒目安全锁,点击安全锁,可查看网站认证的详细信息;使用最高级别EV SSL证书,浏览器显示绿色地址栏,单位名称及颁发
华为手表开发:WATCH 3 Pro(2)生成密钥证书请求文件,生成签名配置签名
二等碗
12-29 1603
鸿蒙,申请数字证书Profile文件前,首先需要通过DevEco Studio来生成密钥(存储在格式为.p12的密钥库文件中)证书请求文件(.csr文件)。HarmonyOS应用/服务通过数字证书.cer文件)Profile文件(.p7b文件)来保证应用/服务的完整性,数字证书Profile文件可通过申请发布证书Profile文件获取。单击finish按钮,创建CSR文件成功,可以在存储路径下获取生成密钥库文件(.p12)证书请求文件(.csr)设备:HUAWEI WATCH 3 Pro。
使用 OpenSSL 创建生成CA 证书服务器客户端证书密钥
01-16
在网络安全中,OpenSSL 是一个强大的安全套接层 (SSL) 工具包,它包含了各种用于处理加密通信所需的工具,包括生成证书密钥以及执行加密操作。本文将详细介绍如何使用 OpenSSL 创建管理CA证书、服务器证书...
Windows下证书私钥证书请求CSR生成工具
12-05
标题中的"Windows下证书私钥证书请求CSR生成工具"指的是在Windows操作系统上用于创建证书私钥证书签名请求的软件或方法。证书私钥是用于加密解密数据的核心,而CSR则是向证书颁发机构(CA)申请数字证书时提交...
Linux(openssl):用CA证书签名具有SAN的CSR
风静如云的博客
12-27 1650
可以看到证书中的X509v3 Subject Alternative Name信息。3.1创建sign_csr_with_san目录。3通过CACSR with SAN。1.创建CA证书,与下面的帖子一样。对于有SAN的CSR如何签名呢?2.创建CSR with SAN。2.1创建csr目录,并进入目录。提供了方法为CSR进行签名。3.6单独查看SAN信息。3.3用CA证书签名。2.2创建csr私钥。
使用OpenSSL生成/签发证书的原理、流程与示例
Laurence的技术博客
03-20 1万+
文章目录1 生成证书的步骤与原理2 标准的CA签发流程2.1 创建私钥(.key)2.2 基于私钥创建证书签名请求(.csr)2.3 (可选)直接同时生成私钥证书签名请求2.4 将证书申请请求(.csr)提交给CA认证机构申请证书.crt)2.5 CA机构生成CA证书链3 生成签名证书3.1 创建私钥(.key)3.2 基于私钥(.key)创建证书签名请求(.csr)3.3 (可选)直接同时生成私钥(.key证书签名请求(.csr)3.4 使用自己的私钥(.key)签署自己的证书签名请求(.csr
openssl RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成例子
yong1585855343的博客
09-01 1610
openssl 生成证书及使用例子
浏览器端纯JS利用crypto.subtle接口生成密钥CSR证书签名请求)
艾恩
09-20 610
纯浏览器端生成CSR密钥对,使用指定算法参数生成证书签发请求(CSR),至少要提供subject,可提供subjectAltNames。使用指定的算法参数,生成非对称加密密钥对。
openssl生成CSR私钥
weixin_49032281的博客
09-06 913
openssl生成CSR私钥
安全 - openssl 生成密钥CSR
qq_38428433的博客
11-28 784
client.key 私钥在这里面, client.csr 公钥在这里面,同时这个文件可以包含 -subj 国家,组织,名称等信息,可以方便用于后续的证书生成。client.csr ,是 Certificate Signing Request 的缩写,即证书签名请求 ,用于后续请求生成证书证书在这些基础信息上,会多过期时间等。
ssl证书生成csr_如何从私有SSL密钥生成CSR
cuma2369的博客
07-21 766
ssl证书生成csrI am renewing my SSL key for my websites. The CA requests a CSR. I have my private key. How to generate a CSR (Certificate Signing Request) from a private SSL key? 我正在为我的网站续订SSL密钥CA请求CSR...
什么是CSR ? 什么是公钥私钥?
CTO_ZhangHui_的博客
04-13 7000
CSR是Cerificate Signing Request的英文缩写,即证书请求文件。我们想要证明我们的网站是可信的,数据传输是加密的,我们就需要由第三方CA机构颁发的证书来证明,比如Symantec,GeoTrust等等。 而想要申请这样的证书,我们的第一步就是需要生成我们自己的CSR文件。  CSR需要由申请人提供域名、公司名称、部门、省份、城市、国家借助相关工具生成,工具同时会生成证书
深入浅出 SSL/CA 证书及其相关证书文件(pem、crt、cer、keycsr
热门推荐
曹立禄的个人博客
03-30 4万+
与手动从网站收集数据相比,爬虫可以为我们节省很多时间,对于爬虫的每次请求而言,这相当于 AWS Lambda 的每次函数的运行。AWS Lambda 是一种将脚本部署到云的简单且价格低廉的服务,如果我们要实现在 AWS Lambda 上运行 selenium 实现数据的爬取,我们需要解决如何在 AWS Lambda 函数中安装 Chrome 浏览器?同时,AWS Lambda 的主要限制是超时限制,即 15 分钟,部署包不能超过 250 MB(但使用容器最多可接受10 GB)。
一文搞清电子认证相关概念:CA证书、PKI、CSR、SSL、TSL、CRT、CER、PEM、RSA等
分享前端开发工程师的一些日常生活、前端知识点、职业发展、对一些问题的看法、感悟等等
08-18 6605
文章目录电子认证公钥基础设施(PKI)安全认证机构CA证书SSLTSLCSR是什么SSL证书格式SSL证书文件OpenSSL证书操作1、查看2、转换3、组合4、提取RSA参考资料 电子认证 电子认证就是通过一个或几个值得信赖的第三方将被认定的签名签名者的姓名与特定的公共密码联系起来。 公钥基础设施(PKI) Public Key Infrastructure(PKI) 可信赖的机构就是认证机构,按不同的层次构建起来,形成公钥基础设施。 在公共基础设施的构成中,认证机构(CA)及相关的证书管理设施居于核心地
SSL/CA 证书及其相关证书文件(pem、crt、cer、keycsr)
RayPick的博客
08-25 9345
SSL 证书是数字证书的一种,类似于驾驶证、护照营业执照的电子副本。因为配置在服务器上,也称为服务器证书。SSL 证书只有正确安装到 Web 服务器,才能实现客户端与服务器间的 https 通信。由于涉及到不同类型 Web 服务器的配置,需要在证书签发后,根据实际服务器环境来安装证书CA 是一种电子商务认证授权机构,也称为电子商务认证中心,是负责发放管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。其发布的证书就是 CA 证书
生成客户端的私钥证书请求(CSR),并用 CA 证书签名
最新发布
12-06
生成客户端的私钥证书请求(Certificate Signing Request, CSR)通常是在申请SSL/TLS证书的过程中完成的。步骤如下: 1. **创建私钥**:首先,使用密钥对算法(如RSA)生成一对密钥,私钥是保密的,用于加密数据,而公钥则公开提供给其他人。这通常通过密码学软件工具(如openssl)中的`genpkey`或`genrsa`命令来完成。 ```sh openssl genpkey -algorithm RSA -out client.key ``` 2. **创建CSR**:接着,使用私钥生成证书请求文件(CSR)。在这个过程中,需要提供一些信息,比如域名、组织名称等,这些信息将包含在CSR中供CA审核。 ```sh openssl req -new -key client.key -out client.csr -subj "/CN=example.com" ``` `-subj`选项指定了证书的主题(Subject),这里"/CN=example.com"表示Common Name为example.com。 3. **提交CSRCA**:拿着这个CSR,你可以将其发送给证书颁发机构(Certificate Authority, CA),他们会对信息进行验证,并基于此签发数字证书。 4. **CA签名**:CA收到并验证了CSR后,会使用其自身的私钥对CSR进行签名,从而形成一个有效的数字证书。这个过程通常是在线进行的,用户可能需要支付费用。 5. **安装证书**:最后,获取到签名证书后,将其安装到客户端(服务器端)的证书存储(如Windows的Certification Store或Linux的ca-certificates)中,以便于HTTPS通信。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值