【Golang | gRPC】使用openssl生成证书

原创 已于 2022-07-02 23:00:56 修改 · 1.7k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #bash #运维

于 2022-07-02 12:14:24 首次发布
本文详细介绍了如何使用OpenSSL生成RSA密钥对、证书请求文件(CSR)及自签名证书的过程,并提供了创建多主机名证书(SAN证书)的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

环境:
OpenSSL:3.0.4

1. 密钥

1.1 创建RSA私钥

使用openssl genrsa

# 生成1024位私钥,输出到控制台
openssl genrsa 1024

# 生成2048位私钥,保存到server.key文件中
openssl genrsa -out server.key 2048

# 生成2048位带加密的私钥(交互方式输入密码),保存到server_passphrase.key文件中
openssl genrsa -out server_passphrase.key -des3 2048
  • -out: 将私钥输出到指定文件,如不加则输出到控制台
  • 2048: 生成2048位的私钥
  • -des3: 生成加密私钥

1.2 使用RSA私钥生成公钥

# 如果是加密私钥,需要交互输入私钥密码
openssl rsa -in server.key -pubout -out server_public.key
  • -in: 导入私钥文件
  • -pubout: 输出公钥
  • -out: 将输出公钥保存到指定文件里

1.3 查看密钥

1.3.1 查看私钥

openssl rsa -in server.key -text

1.3.2 查看公钥

openssl rsa  -RSAPublicKey_in -in server_public.key -text

在这里插入图片描述

2. 证书请求文件

有了私钥后,就可以创建Certificate Signing Request(csr,证书请求文件)。使用私钥对csr进行sign(签名),同时csr中包含与私钥对应的公钥

2.1 使用已有的私钥创建csr

2.1.1 使用交互模式

使用openssl req

# 使用私钥server.key以交互模式生成csr,
openssl req -new -key server.key -out server.csr
  • 一般来说,交互时直接敲enter就行,表示使用默认值;如果想某些字段为空,可以输入.再敲enter
  • -new: 生成新的csr
  • -key: 使用指定的私钥用于签名,同时csr会包含私钥对应的公钥
  • -out: 将生成的csr保存到指定文件中

2.1.2 使用配置文件

新建配置文件csr.cnf

[req]
prompt = no
distinguished_name = dn
req_extensions = ext
input_password = tian   # 加密私钥的密码

[dn]
CN = www.shannont.com # Common Name 公用名称
emailAddress = wanshantian@shannont.com
O = shannont     # Organization 组织
L = NJ              # Locality 所在地
C = CN                  # Country 国家,如中国:CN

[ext]
subjectAltName = DNS:www.shannont.com,DNS:shannont.com,DNS:localhost

补充:

  • http://www.sina.com.cn/为例,http是通信使用的协议,sina.com.cn是域名,www是提供服务的机器的名字(服务器名),服务器名+域名才是主机名,即www.sina.com.cn是主机名
  • subjectAltName(X.509拓展之SAN),如果只使用CN,那么一个证书通常只对应一个主机名,如果要使用多主机名的证书,通过subjectAltName进行配置,一般来说,主机名最少包含两种,一个带www.的,一个不带;也可以使用通配符的方式,比如shannont.com*.shannont.com

使用配置文件生成csr

openssl req -new -config csr.cnf -key server.key -out server2.csr
  • -config: 指定使用的配置文件

2.2 查看csr的内容

openssl req -in server.csr -text -noout

在这里插入图片描述

  • csr中包含公钥,签名以及之前交互时输入值为非空的字段等
  • 当前版本摘要算法默认是sha256
  • -text: 输出csr的文本形式
  • -noout: 不输出-----BEGIN CERTIFICATE REQUEST-----...-----END CERTIFICATE REQUEST-----之间的内容

3. 证书

3.1 自签名证书

有了csr后,不一定要去向CA申请一个证书,大多时候开发阶段为了自测可以申请一个自签名的证书(就是使用自己的私钥来给证书签名)

3.1.1 使用csr生成证书

使用openssl x509命令

# 如果签名用的是加密私钥需要交互输入私钥密码
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
  • x509: X.509 是密码学里公钥证书的格式标准
  • -req: 指明输入的文件是csr
  • -days: 证书的有效时长
  • -in: 输入的文件
  • -signkey: 等同于-key,指明签名用的私钥

3.1.2 使用私钥直接生成证书

# 交互模式,需要输入国家,组织,所在地等一些字段值,如果是加密私钥,还要输入私钥密码
openssl req -new -x509 -days 365 -key server.key -out server2.crt

# 使用上文csr的配置文件直接生成证书
openssl req -new -x509 -days 365 -key server.key -config csr.cnf -out server3.crt

# 使用-subj选项指定国家,组织,所在地等一些字段值,如果是加密私钥,还要输入私钥密码
openssl req -new -x509 -days 365 -key server.key -out server4.crt -subj "/C=CN/L=ShangHai"

3.1.3 生成多主机名证书(SAN证书)

首先新建文件server.ext,在文件中输入subjectAltName = DNS:*.shannont.com, DNS:shannont.com, DNS:localhost,然后通过openssl x509 ... -extfile server.ext创建证书

openssl x509 -req -days 365 -in server.csr -key server.key -out server.crt -extfile server.ext

3.2 查看证书

证书中关于公钥的部分正好等同于1.3.2节中公钥的内容

 openssl x509 -text -in server.crt -noout

在这里插入图片描述

3.3 检查证书

使用openssl s_server创建一个server,默认端口是4433,导入证书和私钥

openssl s_server -cert server.crt -key server.key -www

打开浏览器,输入https://127.0.0.1:4433,得到如下,需要手动信任
在这里插入图片描述

go语言实现openssl自签名双向认证 (附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
05-19 98
go语言实现openssl自签名双向认证 (附完整源码)
go-openssl是一个小型库,以输出兼容OpenSSL的方式包装crypto / aes函数-Golang开发
05-26
go-openssl是一个小型库,其中封装crypto / aes函数,使其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 Luzifer / go-openssl go-openssl是一个小型库,其中封装了crypto / aes函数,其输出与OpenSSL / CryptoJS兼容。 对于所有加密/解密过程,都使用AES256,因此该库将无法解密使用openssl aes-256-cbc以外的其他方式生成的消息。 如果您使用CryptoJS处理数据,则还需要在那一侧使用AES256。 版本支持对于此库,仅支持最新的主要版本。 所有以前的主要版本都不应
golang实现openssl自签名双向认证
最新发布
赴前尘
03-03 1156
golang实现openssl自签名双向认证
使用golang生成证书
yevvzi的博客
01-11 4907
在k8s的源码里看的,记录一下 package main import ( "bytes" cryptorand "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "encoding/pem" "fmt" "math/big" "net" "time" ) func main() { ip := []
golanggRPC 证书认证
大龄程序员
07-06 1432
《GO语言高级编程》设计中案例,仅作为笔记进行收藏。gRPC建⽴在HTTP/2协议之上,对TLS提供了很好的⽀持。客户端在链接服务器中通过 grpc.WithInsecure() 选项跳过了对服务器证书的验证,没有启⽤证书gRPC服务在和客户端进⾏的是明⽂通讯,信息⾯临被任何第三⽅监听的⻛险。为了保障gRPC通信不被第三⽅监听篡改或伪造,可以对服务器启动TLS加密特性。 1.结构目录 2.为服务器和客户端分别生成私钥和证书,存放在 tls-config/ 目录下,命令如下: // Makefi
golang实现php中的`OPENSSL_ALGO_MD5`
hugoall的博客
11-01 989
golang实现php中的OPENSSL_ALGO_MD5 问题描述: php中的 openssl_sign OPENSSL_ALGO_MD5 用go如何实现:如下 php /**RSA签名 * $data签名数据(需要先排序,然后拼接) * 签名用商户私钥,必须是没有经过pkcs8转换的私钥 * 最后的签名,需要用base64编码 * return Sign签名 */ function Rsasign($data,$priKey) { //转换为openssl密钥,必须是没有经过p
golang与php的openssl_encrypt加解密
伊凡
11-10 2062
golang与php的openssl_encrypt加解密
使用openssl解密des-ede3(go语言)
JTao539的博客
08-10 1060
使用openssl解密des-ede3(go语言) 项目场景: 需解密数据库中通过des-ede3加密的字符串 解决方案: 通过查找资料找到如下工具: https://github.com/spacemonkeygo/openssl 附代码: func decodeDesEDE3(original string, key []byte) string { iv := []byte(nil) cipher, err := GetCipherByNid(NID_des_ede3) if err !=
gRPC之SAN证书生成
YIYIYI
12-12 1141
gRPC之SAN证书生成
GRPC开发(4)-grpc服务开发-创建证书
Salted fish in hand, I have the world.
07-09 853
ca.key 生成CA自己的私钥 rootCA.key # openssl genrsa -out ca.key 2048 ca.crt 根据CA自己的私钥生成自签发的数字证书,该证书里包含CA自己的公钥。 rootCA.pem # openssl req -x509 -new -nodes -key ca.key -subj "/CN=grpcpro1.com" -days 5000 -ou...
elliptic:在 Go 中使用 OpenSSL 的椭圆曲线加密
06-22
椭圆形 在 Go 中使用 OpenSSL 的椭圆曲线加密。 这是 yann2192 在 Go 中的 pylliptic 实现。
openssl:Go的OpenSSL绑定
02-03
Go的OpenSSL绑定 请参阅了解更多信息 执照 版权所有(C)2017。请参阅作者。 根据Apache许可版本2.0(“许可”)许可; 除非遵守许可,否则不得使用此文件。 您可以在以下位置获得许可的副本: 除非适用法律要求或以书面形式同意,否则根据“许可”分发的软件将按“原样”分发,而没有任何明示或暗示的保证或条件。 有关许可下特定的语言管理权限和限制,请参阅许可。 在macOS上使用 安装 $ brew install openssl或$ brew install openssl@1.1 在Windows上使用 安装 安装 为mingw32-w64构建(或安装预编译)openssl 将PKG_CONFIG_PATH设置到包含openssl.pc的目录(即c:\ mingw64 \ mingw64 \ lib \ pkgconfig)
Go-用于自动获取证书LetsEncryptSSL证书Golang
08-14
用于自动获取证书LetsEncrypt SSL证书Golang
密码技术--证书及go语言生成自签证书
weixin_38299404的博客
05-28 1182
证书类似身份证,里面记录了某人的姓名、年龄、地址等个人信息,还包括这个人的公钥(身份证号码),并由认证机构(类似派出所)进行数字签名后发放,只要我们看到该证书就可以知道认证机构认定了该公钥(身份证号码)的确属于此人,解决了数字签名中无法确认是谁的公钥的问题,该证书也叫公钥证书,简称证书。 go语言生成自签证书文件(RSA) package main import ( "crypto/rand" "crypto/rsa" "crypto/x509" "crypto/x509/pkix" "enco
Golang(十一)TLS 相关知识(二)OpenSSL 生成证书
weixin_30301449的博客
09-30 1990
0. 前言 接前一篇文章,上篇文章我们介绍了数字签名、数字证书等基本概念和原理 本篇我们尝试自己生成证书 参考文献:TLS完全指南(二):OpenSSL操作指南 1. OpenSSL 简介 OpenSSL 是一个开源项目,其组成主要包括三个组件: openssl:多用途的命令行工具 libcrypto:加密算法库 libssl:加密模块应用库,实现了ssl...
gRPC教程 — 第二章
Mr_XiMu的博客
05-19 809
gRPC教程 — 第二章
golang 公钥转 pem_Linux专题—openssl生成公钥和私钥
weixin_28976179的博客
12-22 823
1. 无加密格式1.1 产生私钥(无加密)$openssl genrsa -out rsa_private_key.pem 10241.2 产生公钥(无加密)$openssl rsa -in rsa_private_key.pem -pubout -out rsa_public_key.pem2. 加密方式2.1 生成RSA私钥(使用aes256加密)$openssl genrsa -aes25...
x509证书openssl、go生成证书
youngZ_H的博客
03-21 7425
文章目录x509证书1. 概述2. x509证书结构2.1 证书扩展字段(X509v3 extensions)2.1.1 Key Usage2.1.2 Extended Key Usage2.1.3 Basic Constraints2.1.4 Subject Key Identifier2.1.5 Subject Alternative Name3. 证书分类3.1 根证书3.2 中间证书3.3 实体证书4. 证书的输出格式5. 证书吊销6. OpenSSL使用6.1 生成公私钥6.1.1生成rsa公私钥
golang grpc双向认证
07-27
可以使用openssl或其他工具来生成证书和私钥。 2. 配置TLS/SSL:服务端和客户端都需要配置TLS/SSL来启用加密通信。服务端需要加载证书和私钥,而客户端需要加载服务端的证书用于验证服务端身份。 3. 配置双向认证:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

田土豆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值