如何自签CA根证书

最新推荐文章于 2025-09-04 16:04:14 发布
最新推荐文章于 2025-09-04 16:04:14 发布
阅读量505 收藏 8
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 安全 linux 文章标签: ssl https http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010674101/article/details/151187597

要自签一个 根证书(Root CA Certificate),其实就是:

  1. 先生成一对私钥和公钥。
  2. 再用这对密钥生成一个自签名证书。

这样你就有了一个“根证书”,后面可以用它来签发中间证书或服务器证书。

🔹 步骤(用 OpenSSL 举例)

1. 生成根证书私钥

openssl genrsa -out my_ca.key 4096
  • my_ca.key 就是根证书的私钥,要非常妥善保存。
  • 一般用 4096 位 RSA 或者 ECC(椭圆曲线)

2. 生成自签根证书

openssl req -x509 -new -nodes -key my_ca.key -sha256 -days 3650 -out my_ca.crt

参数说明:

  • -x509 → 生成自签名证书。
  • -new → 新证书请求。
  • -nodes → 不加密私钥。
  • -key my_ca.key → 用上一步生成的私钥签名。
  • -sha256 → 签名算法。
  • -days 3650 → 有效期 10 年。
  • -out my_ca.crt → 输出的根证书。

在执行时,OpenSSL 会提示输入一些信息:

  • Country Name ©: CN
  • State or Province (ST): Beijing
  • Locality (L): Beijing
  • Organization (O): MyCompany
  • Organizational Unit (OU): IT
  • Common Name (CN): My Root CA

👉 注意:根证书的 CN (Common Name) 通常写成 My Root CA,而不是域名。

3. 验证证书信息

openssl x509 -in my_ca.crt -text -noout
  • Issuer 和 Subject 相同(说明是自签名)。
  • 公钥信息、公信算法、有效期等。

🔹 完成效果

  • my_ca.key → 根 CA 私钥(一定要保密,绝不能泄露)。
  • my_ca.crt → 根 CA 公共证书,可以分发到客户端或浏览器的信任区。

以后你就可以用 my_ca.key + my_ca.crt 给服务器证书或中间 CA 证书签名。

提示

上面都是最简单的配置,有特殊要求的,还需要修改openssl.conf的参数进行配置

https改造-自签CA证书相关证书创建
杨杨杨~~的博客
07-22 2197
如果您觉得有用的话,记得给,写作不易啊^ _ ^。而且听说,实在白嫖的话,那欢迎常来啊!!!
ca根证书校验 java_程序员必备工具 Java证书工具Keytool的使用
weixin_39838758的博客
01-05 610
一、简介Keytool是JDK自带的证书管理工具,在jdk/bin目录下,可以用来生成自签名证书、导入导出证书、打印证书信息等。回顾下前一章的一些概念:PKI:公钥基础设施X.509 : PKI事实上的标准CSR:向CA申请证书的签名请求文件,用ASN.1标准描述证书链:证书之间的上下级信任关系根证书:证书链的最顶层DER:证书二进制格式BER:DER的一个子集CER:一般用于windows的证书...
一键自签CA 根证书脚本
最新发布
u010674101的专栏
09-04 348
在数字证书体系(PKI)中,**CA 根证书**是信任链的起点。通常我们会使用权威 CA(如 DigiCert、GlobalSign)颁发的根证书。但在一些内部系统、测试环境,或公司内部 VPN/客户端认证场景中,我们可以自己搭建一个 **自签 CA**。
自建ca根证书_如何创建私有 CA 并签发证书
weixin_42355744的博客
12-24 1151
为什么需要自己的 CA?因为公共 CA (比如排名前几的这几家:Comodo, Symantec, GlobalSign, DigiCert, StartCom)颁发证书要收费,而且价格很贵。当然现在也有了像 Letsencrypt 这样的免费 CA。我们的应用是企业内网,域名使用私有域名,没有办法使用互联网的 CA 办法的证书。基本概念对称加密 用相同的密码进行加密加密非对称加密 用不同的秘钥对...
Linux利用openssl工具自签CA证书
Bread_Jam的博客
05-22 796
公网环境可以申请Let's encrypt或者ZoreSSL的免费证书(一般都是3个月续签一次),有时候测试环境或者非公网环境有SSL需求 这时候就需要自签证书了本人写作水平一般,以及文中我图方便大量使用了相对路径 见谅。
自建CA并生成自签名SSL证书
热门推荐
AlbertS Home of Technology
11-30 1万+
这是加密与认证系列的第五篇文章了,本来我是想把自建证书和nginx配置https访问总结到一起的,但是在实际操作的过程中我发现了很多细小的知识点,有些还是挺有意思的,这是一个不断自我提问不断寻求答案的过程,随着扩展的内容越来越多,我决定这篇只写自建CA和签名SSL证书这部分,至于nginx配置https访问放到后面再写吧...
CA证书自签详解-比较清晰的讲解
yuyin1018的专栏
09-27 7328
https://blog.csdn.net/z344945251/article/details/72870129   本文记录linux环境和windows环境下CA证书的办法过程   一:linux环境下颁发CA证书   首先需要安装openssl。 首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书。 在CentOS6.3上...
自建CA签证书签发https证书
****的博客
08-06 1428
1.简介 自建CA,利自建CA签发https证书。(不用购买证书、使用https传输、解决信任问题,可以在内网中使用) openssl可以做到,但是命令太繁琐,可以使用工具进行操作。 将证书封装exe文件,双击自动静默安装根CA证书 2.创建CA 以管理员的身份运行程序 CA创建完成 3.创建web服务器证书 利用上一步的CA签发证书,以管理员的身份运行程序。 4.服务器配置 根据导出来的证书,在web服务器上进行配置。例在Nginx上配置*.crt、*.key文件,crt为证书的一种格
自签CA证书的原理与使用场景解析
技术人集结地
07-23 956
本文介绍了自签CA证书的原理、使用场景及与标准CA证书的对比。自签CA证书基于PKI体系,通过自签名建立信任链起点,适用于企业内部网络、开发测试等封闭场景。其优势在于低成本和灵活性,但需手动管理信任和密钥安全。标准CA证书则更适合公共网站,具备自动验证机制。文章还提供了证书生成流程、部署示例及最佳实践建议,强调私钥保护和定期轮换证书的重要性。自签CA证书适合特定需求场景,但需平衡安全性与便利性。
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
赴前尘
02-03 2222
openssl自签名CA根证书、服务端和客户端证书生成并模拟单向/双向证书验证
linux系统openssl 实现ssl自签证书
12-02
为了让浏览器信任这个自签证书,需要将CA根证书ca.crt)导入到用户设备的受信任根证书颁发机构列表中。在Chrome浏览器中,这通常通过设置-隐私设置和安全性-安全-管理设备证书的路径完成。导入证书后,浏览器将...
keytool生成自签名证书或CA根证书
weixin_40857858的博客
08-18 1777
1、keytool生成自签名证书 @echo on #1.生成密匙库 keytool -genkeypair -keyalg RSA -dname "CN=localhost" -alias client -keystore client.jks -keypass cccccc -storepass cccccc #2.导出条目为自签名证书 keytool -exportcert -file client.cer -alias client -keystore client.jks -storepass c
proxmox(pve)命令模式删除vm
u010674101的专栏
05-24 1万+
登录web记录一下id 本人此处vm id为2006 操作 登录pve 以root账号登录,本来可以直接在web网页上面进行删除的,但是为了更加了解pve,所以这次用命令行模式进行删除。 ## 版本 root@pve:~# pveversion -v proxmox-ve: 6.3-1 (running kernel: 5.4.106-1-pve) pve-manager: 6.4-4 (running version: 6.4-4/337d6701) pve-kernel-5.4: 6.4-1 pve-
查看linux ssh登陆日志记录
u010674101的专栏
07-07 1万+
要查看Linux用户是使用密钥登录还是密码登录,可以通过检查系统日志文件来获取相关信息。在CentOS 7系统中,系统日志通常存储在/var/log目录下,主要包括secure日志文件。通过查看secure日志文件,您可以了解到用户是否使用密钥登录或密码登录。请注意,如果日志文件被定期清理或轮转,部分日志可能会被删除或移动到其他位置。
Sweet32漏洞,升级openssl或者禁用3DES和DES弱加密算法
u010674101的专栏
09-27 1万+
解决办法有两个,一个是升级OpenSSL 1.0.2k-fips 26 Jan 2017 以上,另外一个是更新nginx配置,禁用3DES和DES弱加密算法。本次介绍第二种方法,更新nginx配置禁用3DES和DES弱加密算法,然后nginx -s reload即可。如何不喜欢使用nmap,也可以使用如下工具testssl.sh,但是输出的内容太多了,本次我只截取部分。第一个比较麻烦,影响面积比较广,centos7 上,大多数教程都是需要自行编译,影响线上环境。由于等保的原因,被服务商扫描出漏洞。
OpenMediaVault控制台web页面密码重置
u010674101的专栏
11-14 7466
的菜单中,选择 “Reset web control panel password”(重置 web 控制台密码)选项。如果你遇到问题或需要更多指导,请参考 OpenMediaVault 的官方文档,其中提供了详细的说明和示例。以管理员权限登录到 OMV 的命令行界面(通过 SSH 或直接登录)。要重置 OpenMediaVault(OMV)Web 控制台的密码,可以使用。现在,你可以使用新设置的密码重新登录到 OMV 的 Web 控制台。命令行工具中的相应选项。按照提示输入新的密码两次,并确认保存。
ssl证书中,什么是根证书,中间证书,证书连又是什么
u010674101的专栏
09-23 6906
根证书是整个信任链的顶点,由 CA 自签名并存储在操作系统和浏览器中。中间证书由根证书或其他中间证书签发,用于签发服务器证书,增强安全性。服务器证书是最终用来保护网站的SSL证书。证书链是由服务器证书、中间证书和根证书组成的层级信任链,保证浏览器信任网站的安全性。
docker bi工具superset汉化
u010674101的专栏
07-22 5988
很简单,修改一下superset_config.py 文件就可以了,但是。。找文档花了三天时间。。 vim /opt/superset/docker/pythonpath_dev/superset_config.py 文件中添加如下内容即可。 LANGUAGES = { 'en' : { 'flag' : 'us' , 'name' : 'English' }, 'fr' : { 'flag' : 'fr' , 'name' : 'French' }, 'zh' : { 'f
route路由中的UGH意思
u010674101的专栏
06-24 5628
这个是我Ubuntu 20.04下的路由,太久没有看了,今天突然看到flag标志中的UGH,不知道具体意思,然后查询了一番资料。 #这是连接对端路由器的路由表 route -n 内核 IP 路由表 目标 网关 子网掩码 标志 跃点 引用 使用 接口 0.0.0.0 192.168.43.1 0.0.0.0 UG 600 0 0 wlp3s0 169.254.0.0 0.0
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

少陽君

谢谢老板的拿铁

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值