自颁发证书

技术文档网 2021-06-30

* 证书规则

假如我们的域名有:

  1. my.ttt.com.cn pay.ttt.com.cn
  2. my.yyy.com pay.yyy.com
  3. my.xxx.com pay.xxx.com

我们要生成一个仅有的一个证书包含以上的三个或以上的域名。

如google.com的证书:

common name 中定义的域名必须要出现在subject alertnative name中,如.google.com*

* 生成证书

  • openssl配置

使用openssl生成带有san扩展的证书请求文件 首先我们将 openssl 的配置文件复制一份作临时使用,CentOS6 中 openssl 的配置文件在 /etc/pki/tls/openssl.cnf,假如配置为/etc/pki/tls/openssl.fofo.cnf

关键需修改配置文件中的以下几个参数:

1、打开注释 req_extetions = v3_req

2、subjectAltName = @alt_names

3、按序填写包含的域名 [ alt_names ]

DNS.1 = *.ttt.com.cn

DNS.2 = *.yyy.com

DNS.3 = *.xxx.com

4、设置目录 dir = /etc/pki/CA

  • 命令行(默认使用sha1,而sha1被chrome认为不安全):

1、生成server.key和server.csr

openssl req -new -sha256 -nodes -keyout server.key -out server.csr -config /etc/pki/tls/openssl.fofo.cnf -subj "/C=CN/ST=GD/L=GZ/O=TRENDY/OU=EC/CN=*.ttt.com.cn"

2、生成ca.crt

openssl req -new -sha256 -x509 -key ustack.key -out ca.crt -days 3650 -subj "/C=CN/ST=GD/L=GZ/O=TRENDY/OU=EC/CN=*.ttt.com.cn"

3、生成server.crt

openssl x509 -req -sha256 -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt -extfile /etc/pki/tls/openssl.fofo.cnf -extensions v3_req

4、查看证书

$openssl x509 -text -noout -in server.crt

相关文章

  1. 硅谷互联网公司的开发流程

    开发流程包括这么几个阶段: OKR 的设立; 主项目及其子项目的确立; 每个子项目的生命周期; 主项目的生命周期; 收尾、维护、复盘。 第一点,OKR 的设立 所有项目的起始,都应该从 Ro

  2. RESTful-表述性状态转移风格

    REST英文全拼:Representational State Transfer 面向资源编程 资源指的就是一类数据 产品表->就是产品资源 最重要的是如何表示一个资源 地址即

  3. 稳定性思考

    产品功能线 0-1: 当系统从无到有的时候,首要考虑的是研发效率,功能快速迭代,满足快速增长的业务需求 1-10 系统已经搭建起来,此时考虑的是系统的稳定性。 可用性:1.隔离:区分出核心和非核心功能

  4. Supervisor守护队列发邮件

    安装 CentOS: yum -y install supervisor Debien/Ubuntu适用:apt-get install supervisor 配置 修改主配置文件:vim /et

  5. 安装libsodium,让服务器支持chacha20等加密方式

    用chacha20加密方式需要安装libsodium 注意:libsodium从1.0.15开始就废弃了aes-128-ctr yum install wget m2crypto git libsod

随机推荐

  1. 硅谷互联网公司的开发流程

    开发流程包括这么几个阶段: OKR 的设立; 主项目及其子项目的确立; 每个子项目的生命周期; 主项目的生命周期; 收尾、维护、复盘。 第一点,OKR 的设立 所有项目的起始,都应该从 Ro

  2. RESTful-表述性状态转移风格

    REST英文全拼:Representational State Transfer 面向资源编程 资源指的就是一类数据 产品表->就是产品资源 最重要的是如何表示一个资源 地址即

  3. 稳定性思考

    产品功能线 0-1: 当系统从无到有的时候,首要考虑的是研发效率,功能快速迭代,满足快速增长的业务需求 1-10 系统已经搭建起来,此时考虑的是系统的稳定性。 可用性:1.隔离:区分出核心和非核心功能

  4. Supervisor守护队列发邮件

    安装 CentOS: yum -y install supervisor Debien/Ubuntu适用:apt-get install supervisor 配置 修改主配置文件:vim /et

  5. 安装libsodium,让服务器支持chacha20等加密方式

    用chacha20加密方式需要安装libsodium 注意:libsodium从1.0.15开始就废弃了aes-128-ctr yum install wget m2crypto git libsod