使用openssl为localhost创建自签名

原创 已于 2025-04-21 08:30:48 修改 · 545 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #服务器 #ssl

于 2025-04-21 08:29:43 首次发布

文章目录

自签名

生成命令

使用openssl生成私钥和证书。

openssl req -x509 -newkey rsa:4096 -nodes  -days 365 -subj "/CN=localhost" -addext "subjectAltName=DNS:localhost" -keyout cert.key -out cert.crt
# or
openssl req -x509 -newkey rsa:2048 -nodes -days 365 -sha256 -subj '/CN=localhost'  -addext "subjectAltName=DNS:localhost"   -keyout private-key.pem -out certificate.pem
  • -x509 :生成自签名证书
  • -newkey rsa:4096 :生成 4096 位 RSA 密钥
  • -keyout :指定私钥输出路径
  • -out :指定证书输出路径
  • -days 365 :证书有效期 365 天
  • -nodes :不加密私钥
  • -subj "/CN=localhost" :设置证书主题为 localhost
  • -addext "subjectAltName=DNS:localhost":配置SAN扩展

如果提示subject name格式不正确,就修改-subj "//CN=localhost",多加一个/

subjectAltName配置很重要,浏览器需要确保访问的 URL 和证书中的CN/SAN完全匹配

配置好之后,应该会在当前目录生成cert.keycert.crt两个文件或private-key.pemcertificate.pem两个文件。

安装

如果要让浏览器正确识别有两种方法:安装证书浏览器证书管理器

安装证书

双击cert.crt后点击安装证书或右击cert.crt选择安装证书。
安装证书
将证书存储为受信任的根证书颁发机构

浏览器证书管理器

在浏览器中可以导入自定义证书。
可以在浏览器设置中直接搜索证书,一般在隐私安全下面可以找到管理证书
下面分别是ChromeEdge的管理证书。
管理证书
管理证书
谷歌浏览器还支持自定义导入,不需要安装证书到系统,只需要导入即可识别。
自定义导入
也可以选择管理系统导入的证书。
管理证书
点击导入,选择证书文件cert.crt,选择证书存储在受信任的根证书颁发机构
安装证书
安装完成后开始测试。

导入证书之前:
不安全
导入证书之后:
安全
可以看到证书生效了。

使用 node 创建简单的服务器测试代码。

import express from 'express'
import https from 'node:https'
import fs from 'node:fs'
import path from 'node:path'

const app = express()

// 加载SSL证书,使用`cert.key, cert.crt`或者`private-key.pem, certificate.pem`
const sslOptions = {
  key: fs.readFileSync(path.resolve('D:/OpenSSL/ca', 'cert.key')),
  cert: fs.readFileSync(path.resolve('D:/OpenSSL/ca', 'cert.crt'))
}

app.use(express.static(import.meta.dirname))

// 创建HTTPS服务器
const server = https.createServer(sslOptions, app)

server.listen(3000, () => {
  console.log('HTTPS 服务启动成功,端口: 3000')
})

如果运行报错:ERR_OSSL_X509_KEY_VALUES_MISMATCH,这表明证书秘钥不匹配。

首先确认证书和秘钥是否匹配:

openssl x509 -noout -modulus -in cert.crt | openssl md5 && \
openssl rsa -noout -modulus -in cert.key | openssl md5

如果哈希值不匹配需要重新生成证书和秘钥。如果问题还存在,那可能需要完全删除旧证书并重新生成。

go语言实现openssl自签名双向认证(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-06 146
go语言实现openssl自签名双向认证(附完整源码)
golang实现openssl自签名双向认证
赴前尘
03-03 1157
golang实现openssl自签名双向认证
使用 OpenSSL 创建自签名证书
qq_44912603的博客
09-01 2658
ssl
使用openssl生成自签名证书
06-13
使用openssl生成IIS可用的SHA-256自签名证书 超详细步骤!
openssl生成自签证书】
最新发布
liweiweili126的博客
07-22 1076
配置服务器时,需将私钥和证书文件部署到Web服务器(如Nginx、Apache、IIS等)的相应配置目录中。字段的局限性,确保现代浏览器和应用程序能正确验证证书的适用范围。自签证书(Self-Signed)默认不被浏览器信任。通过以上方法,可确保浏览器地址栏不再显示“不安全”提示。执行后会提示设置密码,记住这个密码后续会用到。以下是使用 OpenSSL 生成自签证书(含。)是 X.509 证书的一个扩展字段,用于。按此步骤操作后,证书将兼容所有现代浏览器。:仅限本地开发或内网环境。(主题备用名称,简称。
openssl签名和验证
08-05
openssl签名和验证;openssl签名和验证;openssl签名和验证;
使用 OpenSSL生成自签名服务器证书】扫盲贴
超越的博客
01-17 1221
1根证书是公钥基础设施(PKI)中的顶级证书,它用来签署其他证书,包括中间证书和最终用户证书。2根证书通常由证书颁发机构(CA)生成和自签名。需要注意的是,这种自签名服务器证书在用于内部测试等场景比较方便,但如果用于面向公众的网站,由于没有经过权威机构认证,浏览器等客户端通常会显示证书不受信任的警告。
如何通过OpenSSL创建自签名的CA证书?
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
11-23 2017
如何利用该根证书签署其他证书(即子证书),包括服务器证书和其他类型的证书;介绍客户端验证整个证书链的详细过程。
使用OpenSSL创建包含自签名、本地测试分发点CRL的CMS signedData(M3 Mac)
Jasmine_xyy的博客
04-12 932
openssl x509和openssl ca都可以颁发证书,但是需要在证书的扩展字段添加crl的颁发点,就需要使用openssl ca。openssl不支持使用命令行创建包含crl的cms,需要自己编写代码来调用openssl的API来创建。注:-lssl -lcrypto是必须的,-L后面和-I后面换成自己之前which openssl的路径。所以自己生成目录和目录下的文件,会在撤销时找./demoCA/private/cakey.pem。配置CRL服务器:在准备放crl.pem的位置终端。
10、通过 OpenSSL 生成自签名证书并配置 Nginx 通过 HTTPS 访问
xuebo1129927648的博客
07-18 550
通过以上步骤,你可以快速搭建基于自签名证书HTTPS 服务,适合开发测试或内部系统使用。如何验证通过OpenSSL生成的自签名证书是否有效?除了OpenSSL,还有哪些工具可以生成自签名证书?生成自签名证书时,常见的错误及解决方法有哪些?
HTTPS使用OpenSSL生成带有SubjectAltName自签名证书
热门推荐
Mlib
11-01 1万+
操作步骤 首先新建一个配置文件 ssl.conf如下: [ req ] default_bits = 4096 distinguished_name = req_distinguished_name req_extensions = req_ext [ req_distinguished_name ] countryName = Country...
OpenSSL签名需要的文件
02-24
这是用openssl ca命令对证书请求文件进行签名时需要的一些文件。
基于openssl的RSA的加密,解密,签名和验证签名
09-20
基于openssl的RSA的加密,解密,签名和验证签名, RSR加密 RSA解密 openssl签名 openssl验签, 基于openssl的RSA的加密,解密,签名和验证签名
linux c 使用openssl实现SHA1WithRSA实现,签名,验签
05-19
linux c 使用openssl实现SHA1WithRSA实现,签名,验签
使用OpenSSL创建自签名证书(详细过程和工具)
netconer的博客
05-26 3552
需求来源于使用Node.js创建一个Websocket服务器,如果使用ws://协议则不需要证书。这就要用到签名证书,通常需要从可信任的证书颁发机构获取,但是自己内部使用可以使用OpenSSL创建自签名证书。此步骤会提示填写国家代码、省、市、公司、人名、邮箱等信息,可按需要填写或填入“."保持空白,或直接回车。2. 通过私钥文件生成CSR证书签名请求文件(例: 名称为“req_csr.pem”)3. 通过私钥文件和CSR证书签名生成证书文件(例: 名称为“server.crt”)(windows版本)。
OpenSSL 3.1.1 ECC 加密、解密、签名、验签(国密 sm2、sm3)
Linuxsisohard的博客
06-05 9855
openssl 3 默认废弃了 旧版本 (opessl 1.x) 的部分api 导致部分旧ecc 代码无法使用(可以通过配置编译选项打开)新接口是真的方便,基本上你都不需要懂啥密码学知识,对我们这种密码白痴来说太好了。,这里展示如何使用新接口用ECC 进行加密解密。
使用 OpenSSL 为 Nginx 创建自签名证书 并开启客户端身份验证
生活在底层的低级码农
07-28 1365
本文章默认读者了解Openssl,CA,网站证书相关知识,直接实战! 准备环境 笔者使用的是Ubuntu16 ,其实什么系统都无所谓,请不要使用旧版Openssl就好,因为里面的漏洞实在太致命。 #先创建一个文件夹 mkdir openssl.Test cd openssl.Test mkdir -p ./demoCA/{private,newcerts} touch demoCA/ind...
LINUX使用OpenSSL进行签名
柳鲲鹏
11-02 1356
  其实使用gpg也能完成任务。因为看到某个网页有介绍这种方法,于是就记录下。 原理图 创建私钥 # 创建私钥 openssl genrsa -out key.pri -f4 2048 # 查看私钥 openssl rsa -inform PEM -in key.pri -text 导出公钥 # 导出公钥 openssl rsa -inform PEM -outform PEM -in key.pri -out key.pub -pubout # 查看公钥 cat key.pub ..
openssl 自签名证书
03-12
### 使用 OpenSSL 创建自签名证书 为了创建自签名证书,`openssl.exe` 工具必不可少,在 Windows 平台上可以从指定站点获取该工具[^1]。此工具同样适用于其他操作系统,如 macOS 和 Linux[^2]。 #### 准备工作 确保已安装并配置好 OpenSSL 环境。这通常意味着将 OpenSSL 安装目录下的 bin 文件夹路径添加到系统的环境变量 PATH 中,以便可以直接调用 `openssl` 命令。 #### 创建根 CA 证书和私钥 首先需要为自己扮演的认证机构(CA)创建一对公私钥以及相应的CA证书: ```bash # 生成 CA 私钥 (ca.key),这里指定了密钥长度为 2048 bit openssl genrsa -out ca.key 2048 # 利用上述私钥来签发一张 X.509 v3 扩展格式的自签名 CA 证书(ca.crt),有效期设为十年(3650天) openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Example/CN=example.com" ``` #### 生成服务器端私钥与CSR请求文件 接着要为目标服务准备专属的身份证明材料——即私钥(server.key)及其对应的证书签署请求文件(csr): ```bash # 生产服务器使用的 RSA 非对称加密算法类型的私钥 server.key, 密码保护省略(-nodes 参数作用) openssl genrsa -out server.key 2048 # 构建基于以上私钥而来的证书申请表单 csr 请求文档 server.csr openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Example/CN=localhost" ``` #### 发放最终版 SSL/TLS 数字凭证给目标主机 最后一步就是利用之前建立好的 CA 结合当前待处理的服务商所提供的 CSR 来颁发正式有效的 HTTPS 访问所需的 TLS/SSL 证书: ```bash # 将 CSR 转换成标准 PEM 编码形式存储于文件server.pem之中;同时设置其有效期限为一年(365日卡) openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.pem -days 365 -sha256 ``` 完成这些操作之后就成功制作了一张可以被浏览器识别并不再提示警告信息的安全连接所必需的 SSL/TLS 证书了。不过需要注意的是,由于这是由个人而非受信任第三方机构签发出来的证书,因此如果想要让更广泛的用户群体接受,则还需要进一步考虑通过商业渠道购买经过权威部门验证过的数字证书产品。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值