如何用OpenSSL创建自签名根证书

OpenSSL提供了加密库和特性。我们可以使用OpenSSL读取DER文件来生成随机数。但最常用的功能之一是创建自签名证书,

null

自签名证书

X509是当今互联网和企业中使用的证书标准。X509证书用于在X509证书之间创建树状信任层次结构。例如,Google是一个受信任的实体 poftut.com 是另一个被Google信任的实体,所以我们用这个信任关系创建了一个链。但正如我们看到的,总是有根的。自签名证书不由其他证书签名,这意味着它们可以用作根证书或独立证书。

创建自签名证书

我们可以使用OpenSSL创建一个自签名的X509证书 req 动词。其他选择包括

  • 算法是RSA
  • 密钥大小为4096位
  • 格式为PEM
  • 有效期至365天
$ openssl req -x509 -newkey rsa:4096 -keyout mycert.pem -out cert.pem -days 360
Create Self Signed Certificate
创建自签名证书

创建自签名证书而不加密

在上一步中,我们将使用以下短语询问密码

图片[2]-如何用OpenSSL创建自签名根证书-yiteyi-C++库

我们可以使用 -node 选项如下。

$ openssl req -x509 -node -newkey rsa:4096 -keyout mycert.pem -out cert.pem -days 360

自签名证书错误和警告

如前所述,自签名证书不能与其他证书建立信任关系。这通常会产生一些错误和警告,尤其是浏览器。浏览器使用证书颁发机构根证书检查所提供证书的信任。因为自签名证书不是由他们中的任何人签名的,所以浏览器将显示一条警告消息。

相关文章: 如何用OpenSSL生成随机数和密码

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享