Skip to main content

moregeek program

openssl 配置自签名证书_虚拟的现实的博客-多极客编程

1.简介

CentOS 7 的最小化安装模式,通过 YUM 更新到最新版本。openssl 使用系统自带版本

2.自建CA

2.1.生成 CA 私钥

openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096

2.2.生成 CA 证书请求

openssl req -new -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/private/cakey.csr

2.3.生成 CA 根证书

openssl x509 -req -in /etc/pki/CA/private/cakey.csr -extensions v3_ca \
-signkey /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/certs/cacert.pem -days 3650

3.自建 server 端证书

3.1.生成 server 私钥

openssl genrsa -out /etc/pki/CA/private/myj.lan.pem 4096

3.2.生成 server 证书请求

openssl req -new -key /etc/pki/CA/private/myj.lan.pem -out /etc/pki/CA/private/myj.lan.csr -days 365

3.3.生成 server 端证书

openssl x509 -days 365 -req -in /etc/pki/CA/private/myj.lan.csr -extensions v3_req \
-CAkey /etc/pki/CA/private/cakey.pem -CA /etc/pki/CA/certs/cacert.pem -CAcreateserial \
-out /etc/pki/CA/private/myj.lan.crt

4.WBE 配置

将 myj.lan.crt he myj.lan.pem 配置文件内容复杂到 nginx 的配置文件。或者通过 konga 的配置完成。

openssl 配置自签名证书_CA

openssl 配置自签名证书_自签名证书_02

5.完整配置

mkdir CA
cd CA/
openssl genrsa -out ./myCA.key 4096
openssl req -x509 -new -key myCA.key -out myCA.cer -days 3650 -subj /CN="MeiYiJia"
openssl genrsa -out ./test.lan.key 2048
openssl req -new -out ./test.lan.req -key ./test.lan.key -subj \
/CN=sso.test.lan/CN=sso.test.lan/CN=192.168.111.11
openssl x509 -req -in ./test.lan.req -out ./test.lan.cer -CAkey \
./myCA.key -CA ./myCA.cer -days 720 -CAcreateserial -CAserial ./test.lan.serial
openssl pkcs12 -export -in ./test.lan.cer -inkey ./test.lan.key -out ./test.lan.p12 -name "sso.test.lan"

6.泛域名和多域名配置

目标:生成针对 test.lan 的泛域名证书

6.1.证书请求中字段说明

字段名

缩写

说明

填写要求

Country Name

C

证书持有者所在国家

要求填写国家代码,用2个字母表示

State or Province Name

ST

证书持有者所在州或省份

填写全称,可省略不填

Locality Name

L

证书持有者所在城市

可省略不填

Organization Name

O

证书持有者所属组织或公司

最好还是填一下

Organizational Unit Name

OU

证书持有者所属部门

可省略不填

Common Name

CN

证书持有者的通用名

必填。

对于非应用证书,它应该在一定程度上具有惟一性;

对于应用证书,一般填写服务器域名或通配符样式的域名。

Email Address


证书持有者的通信邮箱

可省略不填

6.2.证书附加用途说明

extendedKeyUsage 可以指定证书目的,即用途,一般有:

  • serverAuth:保证远程计算机的身份
  • clientAuth:向远程计算机证明你的身份
  • codeSigning:确保软件来自软件发布者,保护软件在发行后不被更改mailProtection:保护电子邮件消息
  • timeStamping:允许用当前时间签名数据

如果不指定,则默认为 所有应用程序策略

6.3.使用配置文件生成证书

1、参照步骤2生成根证书

2、生成 test.lan 的域名 key

openssl genrsa -out test.lan.key 2048

3、配置证书生成文件

cat > ./web-ca.conf <<EOF
[ req ]
default_bits = 4096
prompt = no
default_md = sha256
req_extensions = req_ext
distinguished_name = dn

[ dn ]
C = CN
ST = GuangDong
L = DongGuan
O = LingFang
OU = Cloud
CN = *.test.lan

[ req_ext ]
subjectAltName = @alt_names

[ alt_names ]
DNS.1 = test.lan
DNS.2 = *.test.lan
DNS.3 = webproxy.test.lan
IP.1 = 192.168.112.98
IP.2 = 192.168.112.99
IP.3 = 192.168.112.100

[ v3_ext ]
authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment,nonRepudiation,digitalSignature
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

4、生成泛域名证书

openssl req -new -key test.lan.key -out test.lan.csr -config web-ca.conf
openssl x509 -req -in test.lan.csr -CA cacert.pem -CAkey cakey.pem -CAcreateserial \
-out test.lan.crt -days 3650 -extensions v3_ext -extfile web-ca.conf

5、验证证书情况

openssl x509 -text -in test.lan.crt -noout

openssl 配置自签名证书_自签名证书_03

openssl 配置自签名证书_openssl_04

7.新版版本

openssl genrsa -out ca.key 2048
openssl req -x509 -new -nodes -key ca.key -sha256 -days 3650 -out ca.pem
openssl req -new -sha256 -nodes -out myj.lan.csr -newkey rsa:2048 -keyout myj.lan.key -config web-ca.conf
openssl x509 -req -in myj.lan.csr -CA ca.pem -CAkey ca.key -CAcreateserial \
-out myj.lan.crt -days 3650 -sha256 -extfile v3.ext
openssl x509 -text -in myj.lan.crt -noout
openssl pkcs12 -export -in myj.lan.crt -inkey myj.lan.key -out myj.lan.pfx
cat > ./web-ca.conf <<EOF
[ req ]
default_bits = 2048
prompt = no
default_md = sha256
distinguished_name = dn

[ dn ]
C = CN
ST = GuangDong
L = DongGuan
O = LingFang
OU = Cloud
CN = myj.lan
EOF
cat > ./v3.ext <<EOF


authorityKeyIdentifier=keyid,issuer:always
basicConstraints=CA:FALSE
keyUsage=keyEncipherment,dataEncipherment,nonRepudiation,digitalSignature
extendedKeyUsage=serverAuth,clientAuth
subjectAltName=@alt_names

[ alt_names ]
DNS.1 = myj.lan
DNS.2 = *.myj.lan
DNS.3 = localhost
IP.1 = 192.168.0.101
EOF


©著作权归作者所有:来自51CTO博客作者waring_id的原创作品,请联系作者获取转载授权,否则将追究法律责任

与时俱进「风险系统保障质量之路」非同寻常_京东云官方的博客-多极客编程

作者:梁冬冬风险系统复杂且又庞大,质量如何保障需要我们付出一点一滴的努力来浇灌系统之花一、大促备战,求有序,求稳定:大促是每年例行高考,把人和系统的各项能力激发,衡量系统健壮,容错性;凌晨3点的身影就像一束光,夺目耀眼;今年的大促与往年不同,倡导绿色,节能减排,降本增效,把各种资源做到利用最大化,产生更大的价值,让大促备战产生了一丝温度1)压测备战时间表(统筹整体,从4.21-6.23我们把剧本编

高并发下丢失更新的解决方案_京东云官方的博客-多极客编程

作者:谢益培1 背景关键词:并发、丢失更新预收款账户表上有个累计抵扣金额的字段,该字段的含义是统计商家预收款账户上累计用于抵扣结算成功的金额数。更新时机是,账单结算完成时,更新累计抵扣金额=累计抵扣金额+账单金额。2 问题及现象发现当账单结算完成时,偶尔会发生累计抵扣金额字段值更新不准确的现象。比如,某商家账户上累计抵扣金额原本为0元,当发生两笔分别为10和8的账单结算完成后,理论上累计抵扣金额应

splunk入门体验_马鹏飞的博客-多极客编程

放一段介绍, Splunk是一款功能强大,功能强大且完全集成的软件,用于实时企业日志管理,可收集,存储,搜索,诊断和报告任何日志和机器生成的数据,包括结构化,非结构化和复杂的多行应用程序日志。 ​ 它允许您以可重复的方式快速,可重复地收集,存储,索引,搜索,关联,可视化,分析和报告任何日志数据或机器生成的数据,以识别和解决操作和安全问题。 ​ 此外,splunk还支持各种日志管理用例,例如日志整合

高效率开发web安全扫描器之路(一)_蜻蜓安全的博客-多极客编程

一、背景 经常看到一些SRC和CNVD上厉害的大佬提交了很多的漏洞,一直好奇它们怎么能挖到这么多漏洞,开始还以为它们不上班除了睡觉就挖漏洞,后来有机会认识了一些大佬,发现它们大部分漏洞其实是通过工具挖掘的,比如说下面是CNVD上面的白帽子大佬 我想成为大佬要怎么做 我一直觉得自己是一个有梦想的人,我也想有一天自己的ID能出现在排行榜中,于是我凭借着自己那一点开发知识,认真研究了一下市面上的安全工

immunity debugger、windbg和mona使用方法_小小超的博客-多极客编程

1、Immunity Debugger+Mona Immunity Debugger调试器 请到官网下载并安装 依赖关系,需要安装Python。如果电脑没有,程序安装完成后会默认安装一个2.7版本的Python。 1.1加载Mona.py 把mona.py拷贝进Immunity Debugger安装目录的PyCommands文件夹 测试是否成功,打开Immunity Debugger,命令行

java sql注入代码审计_土豆笔记的博客-多极客编程

前言:在之前的一篇关于​​JAVA SQL注入测试​​ 文章中记录了一些JAVA SQL注入代码审计及测试过程及注意点,近来回头看觉得那仅仅只能作为一个普通场景,漏掉了很多的特殊场景,因此又进一步进行了学习,现将相关笔记内容整理如下。一、Mybatis 注入审计常见流程:1、选择.xml文件,全局搜索${2、从${逆向找到Controller思路(大体思路,实际作为参考):.xml中的id——&g

与时俱进「风险系统保障质量之路」非同寻常_京东云官方的博客-多极客编程

作者:梁冬冬风险系统复杂且又庞大,质量如何保障需要我们付出一点一滴的努力来浇灌系统之花一、大促备战,求有序,求稳定:大促是每年例行高考,把人和系统的各项能力激发,衡量系统健壮,容错性;凌晨3点的身影就像一束光,夺目耀眼;今年的大促与往年不同,倡导绿色,节能减排,降本增效,把各种资源做到利用最大化,产生更大的价值,让大促备战产生了一丝温度1)压测备战时间表(统筹整体,从4.21-6.23我们把剧本编

高并发下丢失更新的解决方案_京东云官方的博客-多极客编程

作者:谢益培1 背景关键词:并发、丢失更新预收款账户表上有个累计抵扣金额的字段,该字段的含义是统计商家预收款账户上累计用于抵扣结算成功的金额数。更新时机是,账单结算完成时,更新累计抵扣金额=累计抵扣金额+账单金额。2 问题及现象发现当账单结算完成时,偶尔会发生累计抵扣金额字段值更新不准确的现象。比如,某商家账户上累计抵扣金额原本为0元,当发生两笔分别为10和8的账单结算完成后,理论上累计抵扣金额应

cisco 6800系列交换机硬件架构及日常维护指南_虚拟的现实的博客-多极客编程

1.核心交换机硬件及架构概览核心交换机硬件清单:1机箱C6807-XL=Catalyst 6807-XL 7-slot chassis, 10RU (spare),3年CON-SNT-C6807XLC22交换引擎C6800-SUP6T-XLCatalyst 6800 Sup6T (440G/slot) with 8x10GE, 2x40GE43电源C6800-XL-3KW-ACCatalyst 6

openflow协议原理及基本配置-网络测试仪实操_日出的博客-多极客编程

一、OpenFlow协议原理1.OpenFlow技术背景●转发和控制分离是SDN网络的本质特点之一。在SDN网络架构中,控制平面与转发平面分离,网络的管理和状态在逻辑上集中到一起,底层的网络基础从应用中独立出来,由此,网络获得前所未有的可编程、可控制和自动化能力。这使用户可以很容易根据业务需求,建立高度可扩展的弹性网络。要实现SDN网络的转控分离架构,就需要在SDN控制器与数据转发层之间建立一个通

信息论与编码:信道的定义和分类_wx62e40d60030b6的博客-多极客编程

信道是任何一种通信系统中必不可少的组成部分。任何一个通信系统都可以视为由发送,信道与接收三部分组成。信道通常指以传输媒介为基础的信号通道。信号在信道中传输,可能遇到的影响主要有信道加性噪声 、 信号幅度衰减和相位失真 、 信道特性的非线性 、带宽限制和多径失真等。实际通信系统中,通过调整通信系统参数可以减小信道对信号失真的影响,但由于传输媒介的物理特性和实际通信系统中所采用的电子元器件的限制,使系

信息论与编码:线性分组码与性能参数_wx62e40d60030b6的博客-多极客编程

1.1 线性分组码(n,k)定义线性分组码是由 (n, k) 形式表示。编码器将一个 k 比特信息分组(信息矢量)转变成一个更长的由给定符号集组成的 n 比特编码分组(编码矢量)。当这个符号集包含 2 个元素 (0 and 1) 时 , 称为二进制编码。k-bit 信息形成 不同的信息序列 , 称为 k 元组。 n-bit 可以形成个不同序列,称为 n 元组。(n,k)分组码输出的长度为n的序列称