openssl自签ECC V3证书

2019-11-12

字数统计: 685字 | 阅读时长≈ 3分

前提：为支持更强的加密，建议升级openssl到最新版

1. 生成CA根证书

首先要准备一个配置文件和一个目录，稍后需要用第3版的证书[支持DNS域名和IP，浏览器可以校验证书里面的DNS是不是和网站实际的域名一样]

#serial 文件是openssl管理颁发序号的,index.txt是对newcerts下面新签发的证书的一个简单索引
mkdir ssl && cd ssl
touch index.txt
echo 01 > serial

cat openssl1.cnf

#注：创建根证书的时候使用的参数是“basicConstraints = CA:true”
#basicConstraints = CA:true” 表示创建的是“根证书”

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
countryName         = HK
stateOrProvinceName = TLW
localityName        = TLW

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
#DNS.1 = server1.example.com
#DNS.2 = mail.example.com
#DNS.3 = www.example.com
IP.1 = xx.xx.xx.xx
#IP.2 = xx.xx.xx.xx

[ v3_ca ]
basicConstraints = CA:true

#创建根CA的私钥，加密强度为prime256v1
openssl ecparam -genkey -name prime256v1 -out ca.key
注：prime256v1为加密强度，可通过命令查看：openssl ecparam -list_curves

#创建SHA-512自签名的根CA证书（CA certificate）
openssl req -passout pass:"password" -new -sha512 -x509 -days 3650 -config openssl1.cnf -extensions v3_ca -key ca.key -out ca.crt -subj "//C=CN\ST=HongKong\L=HongKong\O=My Company\OU=My Department\CN=Heath\emailAddress=hkjs@hk.com"


#验证CA certificate是否符合要求
openssl x509 -text -noout -in ca.crt

2. 生成域名证书的签名请求

创建域名证书所需的cnf文件

cat openssl2.cnf

#修改basicConstraints = CA:false” 表示创建的是“非根证书”，即普通证书

[req]
req_extensions = v3_req
distinguished_name = req_distinguished_name

[req_distinguished_name]
countryName         = HK
stateOrProvinceName = TLW
localityName        = TLW

[v3_req]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names

[alt_names]
#DNS.1 = server1.example.com
#DNS.2 = mail.example.com
#DNS.3 = www.example.com
IP.1 = xx.xx.xx.xx
#IP.2 = xx.xx.xx.xx

[v3_ca]
basicConstraints = CA:FALSE

#生成域名使用的server.key文件
openssl ecparam -genkey -name prime256v1 -out server.key

#生成server.csr文件
openssl req -passout pass:"password" -new -sha512 -key server.key -out server.csr -extensions v3_req -config openssl2.cnf -subj "//C=CN\ST=HongKong\L=HongKong\O=My Company\OU=My Department\CN=Heath\emailAddress=hkjs@hk.com"

#验证DNS信息是否存在了X509v3 Subject Alternative Name里面
#确保签名类型为“非根CA”类型，X509v3 Basic Constraints: CA:FALSE
openssl req -text -noout -in server.csr

3. 使用CA签名

1 2	#签名之前需要进行如下操作 cp /usr/local/ssl/openssl.cnf /root/ssl/

vim openssl.cnf

1
2
3

#修改CA目录
[ CA_default ]
dir = /root/ssl

#修改CA策略
[ policy_match ]
countryName             = optional
stateOrProvinceName     = optional
organizationName        = optional
organizationalUnitName  = optional
commonName              = optional
emailAddress            = optional

#用根ca.crt 来给server.csr签名，生成server.crt文件
openssl ca -days 3650 -cert ca.crt -keyfile ca.key -md sha512 -extensions v3_req -config openssl.cnf -in server.csr -out server.crt

#注：如果提示部分目录或文件不存在，根据提示创建即可

1
2
3

#验证证书有效性
$ openssl verify -verbose -CAfile ca.crt server.crt
server.crt: OK

4. 生成fullchain证书

1 2	#将泛域名证书server.crt和根域名证书ca.crt合并为fullchain证书 cat server.crt ca.crt >fullchain.crt

本文作者： GaryWu
本文链接： https://garywu520.github.io/2019/11/12/openssl自签ECC-V3证书/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true