苹果签名

iphoneqm
首页 > 苹果签名 > 正文内容

使用openssl生成自签名证书以及nginx ssl双向验证

admin4个月前 (12-19)苹果签名79

  openssl genrsa -des3 -out server.key 2048

使用openssl生成自签名证书以及nginx ssl双向验证

  命令完成后会提示让输入密码,这个密码是通过des3(也可以采用其他加密算法)加密此密钥文件的,如果其他程序需要读取这个文件,需要输入密码

  openssl rsa -in server.key -out server.key

  执行这个命令后,NGINX引用此文件不需要输入密码

  openssl req -new -key server.key -out server.csr

  按照相关提示,填入证书相关基本信息,生成的证书通过CA签名后形成服务端自己的证书

  (Certificate Signing Request(CSR))

  openssl genrsa -des3 -out client.key 2048

  openssl req -new -key client.key -out client.csr

  生成的csr文件必须要经过CA签名才能形成自己的证书,我们可以通过第三方权威认证机构进行签名,但是这个需要收费,我们制作自签名根证书

  openssl req -new -x509 -keyout ca.key -out ca.crt

  查看/etc/pki/tls/opensslf文件 ,查看dir是不是指向dir= /etc/pki/CA 如果不是,请修改

  touch /etc/pki/CA/{index.txt,serial}

  这个是根据opensslf中的配置,要求生成的文件

  ----------------------------------

  dir             = /etc/pki/CA           # Where everything is kept

  certs           = $dir/certs            # Where the issued certs are kept

  crl_dir         = $dir/crl              # Where the issued crl are kept

  database        = $dir/index.txt        # database index file.

  -------------------------------

  echo 01 > /etc/pki/CA/serial

  openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

  openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

  至此证书签名已经全部完毕。

  由于我们生成的客户端证书是需要用在各个地方的,例如在浏览器中,在IOS和Android中,需要做相应的转换才能安装

  openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

  openssl pkcs12 -export -in client.crt -inkey client.key -out  client.pfx

  openssl x509 -in client.crt -out client.cer

  另外IE也可以安装.pfx格式的证书

  以上步骤有些需要输入密码,密码就是我们刚才在生成客户端和浏览器端证书时的密码,密码千万必要忘记,忘记了只能重新生成

  client使用的文件有:ca.crt,client.crt,client.key,client.pfx

  server使用的文件有:ca.crt, server.crt,server.key

  修改nginx.conf文件

  server {

  listen       443 ssl;                                                    #s默认端口

  root /var//src;

  ssl on;                                                                                #开启s校验

  ssl_certificate ssl/server.crt;                                #服务端证书

  ssl_certificate_key ssl/server.key;                        #服务端key

  #ssl_client_certificate ssl/client/client.crt;#客户端证书,不需要根证书的时候可以使用

  ssl_client_certificate ssl/ca.crt;                        #客户端签发的ca证书

  ssl_verify_client on;                                                    #开启对客户端的校验,这个地方是就是开启双向校验的地方

  ssl_session_cache    shared:SSL:1m;

  ssl_session_timeout  5m;

  ssl_ciphers  HIGH:!aNULL:!MD5;

  ssl_prefer_server_ciphers  on;

  }

  配置完成以后    nginx -s reload 使之生效

  把相关证书导入到相应的客户端,例如在IE下,需要把根证书ca.crt安装到受信任的证书颁发机构

  client.crt(client.pfx) 安装到个人证书的位置

  然后打开我们需要访问的地址xxx.xxx.xxx.xx能正确的打开页面即代表成功

  在打开的时候,浏览器会询问,1、证书确认,2、需要凭据(是否允许此应用访问您的私钥)

  以上点击确认和允许即可

  (ps:接下来我会一些脚本直接把以上带颜色的命令进行生成)

  通过以上命令,我写了一个shell脚本,可以快速的生成我们需要的证书,由于不能上传附件,所以写的shell文件就不能上传上来了,贴上具体的脚本代码,还请读者复制到自己的文件中然后进行运行即可

  注意事项:

  SUBJECT="/C=CN/ST=BJ/L=BJ/O=bky/CN=$DOMAIN"

  这一部分需要改为和自己公司相符的内容,或者干脆直接更改为SUBJECT="/CN=$DOMAIN",然后在下面填写证书的时候再进行填写,如果使用了上述的SUBJECT,则在接下来填写证书信息,例如国家,城市,机构的时候必须要和这个相同,如果不相同,就会生不成server.crt证书文件。例如如果国家在SUBJECT中设置的是CN,而下面填写证书信息的时候不是CN,则执行openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key的时候会报如下错误

  The countryName field needed to be the same in the

  CA certificate (cn) and the request (CN)

  在运行以上脚本的时候出现了一个小问题,错误信息如下:

  openssl TXT_DB error number 2 failed to update database

  在网上搜了一下解决方法,借鉴一下:

  产生的原因是:

  This thing happens when certificates share common data. You cannot have two

  certificates that look otherwise the same.

  方法一:

  修改demoCA下 index.txt.attr

  unique_subject = yes

  方法二:

  删除demoCA下的index.txt,并再touch下

  rm index.txt    touch index.txt

  方法三:

  将 common name设置成不同的

阅读剩余的61%

扫描二维码推送至手机访问。

版权声明:本文由MDM苹果签名,IPA签名,苹果企业签名,苹果超级签,ios企业签名,iphoneqm.com发布,如需转载请注明出处。

转载请注明出处https://iphoneqm.com/iphoneqm/548.html

相关文章

Do everything if needed

Do everything if needed

  mbedtls下载路径:github/ARMmbed/mbedtls   写本帖时的最新tag: github/ARMmbed/mbedtls/releases/tag/v2.23.0...

置顶小程序发起微信支付出现“支付验证签名失败”错误精选热门

置顶小程序发起微信支付出现“支付验证签名失败”错误精选热门

  你好,请按照以下几点仔细检查:   1) 使用的在线签名工具检查签名是否和程序生成的一致   pay.weixin./wiki/doc/api/micropay.php?chapter...

华为app安装失败与已安装签名_第三方下载的App闪退怎么办?如何安装未签名App?...

华为app安装失败与已安装签名_第三方下载的App闪退怎么办?如何安装未签名App?...

  由于最近苹果大规模的封签名,导致在第三方渠道下载的软件都出现闪退没法使用的现象。目前的替代方法就是使用电脑端 Cydia Impactor 来给 App 进行自签,虽然相对比较麻烦,但这也是目前针...

c#简单易用的短信发送服务 悠逸企业短信服务

c#简单易用的短信发送服务 悠逸企业短信服务

  悠逸企业短信发送服务,是一种比较简单易操作的短信发送服务,使用POST的方式,请求相应地址就可以实现短信发送功能   1 ///   2 /// 短信发送服务   3...

在苹果上架app要多少钱?

在苹果上架app要多少钱?

  在苹果上架app需要支付开发者账户的年费以及应用审核费用,具体费用如下:   1. 开发者账户年费   苹果开发者账户需要支付每年99美元的费用。这个费用是必需的,因为只有注册了开发者...

苹果ios企业超级签名8超级签名企业签名8稳定独

苹果ios企业超级签名8超级签名企业签名8稳定独

  1. 请查看以下相关信息,或在上方搜索相关信息。   2. 如您是发布人(tf***5),可以点击刷新信息延长1年有效期(购买刷新券低至0.1元/条),或登录会员中心,管理信息批量刷新信息。...

现在,非常期待与您的又一次邂逅

我们努力让每一次邂逅总能超越期待