OpenSSL生成自签名证书备忘录

1. openSSL生成自签名与nginx配置流程

js 复制代码
// 生成私钥
openssl genpkey -algorithm RSA -out private.key -pkeyopt rsa_keygen_bits:2048
// 使用生成的私钥,生成一个证书请求文件
openssl req -new -key private.key -out csr.pem
// 使用生成的私钥和证书请求,生成自签名证书
openssl x509 -req -in csr.pem -signkey private.key -out public.crt -days 365

运行上述命令后,可以在当前文件夹下看到证书,证书请求和私钥

在nginx中配置:

再次启动,可以打开https站点。

2. 流程QA

Q: key, crt, pem文件分别是什么

key文件为私钥文件,根据openssl genpkey命令生成。后续需要由该私钥生成公钥,并写入证书。

PEM文件是一种被广泛使用的文件格式,其中包含了CRT文件中的信息。PEM文件通常是BASE64编码的文本文件,并具有以下扩展名:.pem、.crt、.cer和.key。PEM文件可以包含多个证书,每个证书由BEGIN CERTIFICATE和END CERTIFICATE标记包裹。

CRT文件是SSL证书的基本文件格式,也称为X.509证书。它包含服务器的公钥、证书颁发机构(CA)的数字签名和证书序列号。当客户端与服务器建立SSL连接时,服务器将使用其私钥解密数字签名,以证明服务器的身份。这样,客户端就可以验证服务器是否可信。

查看证书内容命令:

js 复制代码
openssl x509 -in public.crt -noout -text

Q: key, crt文件在https流程中的作用

生成的key作为服务器SSL解码的私钥,和证书中的公钥对应。在https连接中,服务器将证书(包括公钥)发送给浏览器,浏览器自己也生成一套公钥和私钥,并将自己的公钥发送给服务器。

这样,服务器和浏览器都有了对方的公钥,发送的信息对用对方的公钥加密,接收到的消息都用自己的私钥解密,便保障了信息传输的安全性。

在https的资源耗时中,可以看到SSL一项,便包括了资源发送的加解密耗时。

Q: 使用自签名证书浏览器识别不了怎么办

看了下,网上大概的解决方案是把自签名证书导入浏览器信任的证书里 ,但是尝试了,失败不生效。

最终还是没有找到很好的解决方案,只能手动授权进入页面,生产环境还是需要使用CA机构授权认证的证书才行。

相关推荐
2501_916008896 小时前
iOS App抓包工具排查后台唤醒引发请求异常
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_915918419 小时前
iPhone 抓包工具有哪些?多工具对比分析优缺点
websocket·网络协议·tcp/ip·http·网络安全·https·udp
小何学计算机12 小时前
HTTPS工作原理
网络协议·http·https
游戏开发爱好者813 小时前
iOS 出海 App 安全加固指南:无源码环境下的 IPA 加固与防破解方法
websocket·网络协议·tcp/ip·http·网络安全·https·udp
2501_9159214314 小时前
苹果App上架流程:不用Mac也可以上架的方法
websocket·网络协议·tcp/ip·http·网络安全·https·udp
苹果醋317 小时前
Vue3组合式API应用:状态共享与逻辑复用最佳实践
java·运维·spring boot·mysql·nginx
华无丽言19 小时前
如何简单实现发版不影响客户使用?nginx负载
linux·nginx
2501_9160074719 小时前
iOS 性能测试工具全流程:主流工具实战对比与适用场景
websocket·tcp/ip·http·网络安全·https·udp
teeeeeeemo19 小时前
http和https的区别
开发语言·网络·笔记·网络协议·http·https
令狐少侠20111 天前
ai之对接电信ds后端服务,通过nginx代理转发https为http,对外请求,保持到达第三方后请求头不变
nginx·ai·https