自颁发证书
* 证书规则
假如我们的域名有:
- my.ttt.com.cn pay.ttt.com.cn
- my.yyy.com pay.yyy.com
- my.xxx.com pay.xxx.com
我们要生成一个仅有的一个证书包含以上的三个或以上的域名。
如google.com的证书:
common name 中定义的域名必须要出现在subject alertnative name中,如.google.com*
* 生成证书
- openssl配置
使用openssl生成带有san扩展的证书请求文件 首先我们将 openssl 的配置文件复制一份作临时使用,CentOS6 中 openssl 的配置文件在 /etc/pki/tls/openssl.cnf,假如配置为/etc/pki/tls/openssl.fofo.cnf
关键需修改配置文件中的以下几个参数:
1、打开注释 req_extetions = v3_req
2、subjectAltName = @alt_names
3、按序填写包含的域名 [ alt_names ]
DNS.1 = *.ttt.com.cn
DNS.2 = *.yyy.com
DNS.3 = *.xxx.com
4、设置目录 dir = /etc/pki/CA
- 命令行(默认使用sha1,而sha1被chrome认为不安全):
1、生成server.key和server.csr
openssl req -new -sha256 -nodes -keyout server.key -out server.csr -config /etc/pki/tls/openssl.fofo.cnf -subj "/C=CN/ST=GD/L=GZ/O=TRENDY/OU=EC/CN=*.ttt.com.cn"
2、生成ca.crt
openssl req -new -sha256 -x509 -key ustack.key -out ca.crt -days 3650 -subj "/C=CN/ST=GD/L=GZ/O=TRENDY/OU=EC/CN=*.ttt.com.cn"
3、生成server.crt
openssl x509 -req -sha256 -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt -extfile /etc/pki/tls/openssl.fofo.cnf -extensions v3_req
4、查看证书
$openssl x509 -text -noout -in server.crt
相关文章
- 硅谷互联网公司的开发流程
开发流程包括这么几个阶段: OKR 的设立; 主项目及其子项目的确立; 每个子项目的生命周期; 主项目的生命周期; 收尾、维护、复盘。 第一点,OKR 的设立 所有项目的起始,都应该从 Ro
- RESTful-表述性状态转移风格
REST英文全拼:Representational State Transfer 面向资源编程 资源指的就是一类数据 产品表->就是产品资源 最重要的是如何表示一个资源 地址即
- 稳定性思考
产品功能线 0-1: 当系统从无到有的时候,首要考虑的是研发效率,功能快速迭代,满足快速增长的业务需求 1-10 系统已经搭建起来,此时考虑的是系统的稳定性。 可用性:1.隔离:区分出核心和非核心功能
- Supervisor守护队列发邮件
安装 CentOS: yum -y install supervisor Debien/Ubuntu适用:apt-get install supervisor 配置 修改主配置文件:vim /et
- 安装libsodium,让服务器支持chacha20等加密方式
用chacha20加密方式需要安装libsodium 注意:libsodium从1.0.15开始就废弃了aes-128-ctr yum install wget m2crypto git libsod
随机推荐
- 硅谷互联网公司的开发流程
开发流程包括这么几个阶段: OKR 的设立; 主项目及其子项目的确立; 每个子项目的生命周期; 主项目的生命周期; 收尾、维护、复盘。 第一点,OKR 的设立 所有项目的起始,都应该从 Ro
- RESTful-表述性状态转移风格
REST英文全拼:Representational State Transfer 面向资源编程 资源指的就是一类数据 产品表->就是产品资源 最重要的是如何表示一个资源 地址即
- 稳定性思考
产品功能线 0-1: 当系统从无到有的时候,首要考虑的是研发效率,功能快速迭代,满足快速增长的业务需求 1-10 系统已经搭建起来,此时考虑的是系统的稳定性。 可用性:1.隔离:区分出核心和非核心功能
- Supervisor守护队列发邮件
安装 CentOS: yum -y install supervisor Debien/Ubuntu适用:apt-get install supervisor 配置 修改主配置文件:vim /et
- 安装libsodium,让服务器支持chacha20等加密方式
用chacha20加密方式需要安装libsodium 注意:libsodium从1.0.15开始就废弃了aes-128-ctr yum install wget m2crypto git libsod