win如何使用OpenSSL生成自签名证书,使 http 升级为 https

news2024/12/22 20:36:02

win如何使用OpenSSL生成自签名证书,使 http 升级为 https

前言

HTTPS其实就是HTTP over SSL,也就是让HTTP连接建立在SSL安全连接之上。

创建自签名证书需要安装openssl。参考本文安装OpenSSL部分。

使用OpenSSL生成自签名证书的步骤:参考本文使用OpenSSL生成自签名证书部分。

  1. 创建私钥Key(.key文件);
  2. 创建签名请求(.csr文件);
  3. 将Key中的密码;
  4. 用Key签名证书(.key+.csr=>.crt)

为HTTPS准备的证书需要注意,创建的签名请求的CN必须与域名完全一致,否则无法通过浏览器验证。

文章目录

  • 前言
  • CA证书和自签名证书的区别?
  • 安装OpenSSL
    • 下载OpenSSL安装包
    • 安装
    • 设置环境变量
    • 验证安装是否正确
  • 使用OpenSSL生成自签名证书
    • 进入SSL文件夹
    • 生成服务器私钥(.key 文件)
    • 去除私钥中的密码
    • 生成证书签名请求(.csr文件)
    • 生成自签名SSL证书(.crt文件)
  • 自签名证书的使用(以Nginx为例)
    • 服务端上传SSL证书
    • 服务端配置443端口并使用SSL证书
    • 客户端访问https
        • 方式一:强制浏览器和操作系统接受我们自己的证书颁发机构
        • 方式二:在您的浏览器/操作系统中安装证书授权
  • 参考文章

CA证书和自签名证书的区别?

CA证书和自签名证书都是用于加密通信的数字证书,但是它们之间有一些重要的区别:

  1. CA证书是由公认的数字证书授权机构(CA)颁发的,而自签名证书是由用户自行创建的。CA是Certificate Authority的缩写,也叫“证书授权中心”。

  2. CA证书的安全性更高,因为它们受到权威机构的信任和监管。自签名证书的安全性取决于用户的技能和处理过程。

  3. CA证书可用于公共网络和网站,因为它们已被许多浏览器和操作系统信任。自签名证书只能在私有网络或用于测试目的使用。

  4. CA证书需要支付费用,而自签名证书是免费的。

总的来说,如果您需要在公共网络上运行网站或应用程序,那么建议使用CA证书。如果您只需要在私有网络上加密通信或进行测试,则可以使用自签名证书。

安装OpenSSL

下载OpenSSL安装包

前往https://slproweb.com/products/Win32OpenSSL.html 下载win OpenSSL安装包

exe 和 msi二选一即可。注意,我们Light版本是轻量版,我们直接下载完整版本。

image-20230620164808956

下载下来是Win64OpenSSL_Light-3_1_1.msi

安装

安装过程多数选择默认即可。

注意在选择将OpenSSL的DLL安装到Windows/System/下还是安装目录的bin目录下时,我们选择bin目录,避免System目录下其他软件的DLL影响OpenSSL。

image-20230620165052362

其他页面一直点击下一步即可安装完成。

最后这个页面可以选择给作者打赏,不打赏的话全部取消勾选即可。

image-20230620165435140

安装完成。

image-20230620165641032

设置环境变量

我们还需要在系统环境变量里面添加路径,我的是C:\Program Files\OpenSSL-Win64\bin

image-20230620170325508

添加好后,点击右边上移按钮,上移到最上面:

image-20230620170443484

保存修改即可。

验证安装是否正确

打开cmd,输入命令查看版本:

openssl version

image-20230620170841365

可以看到安装成功。如果不是我们安装的版本信息,可能需要重启电脑。

使用OpenSSL生成自签名证书

进入SSL文件夹

创建SSL文件夹,用于存放生成的证书文件。我的是 D:\ssl证书

打开cmd,cd到SSL文件夹路径,输入命令openssl回车。

D:
cd D:\ssl证书
openssl

image-20230620172004479

生成服务器私钥(.key 文件)

输入以下命令生成秘钥文件:

openssl genrsa -des3 -out server.pass.key 2048

随后输入一个4位以上的密码,然后再输入一次密码。如图:

image-20230621151645656

命令解释如下:

genra:生成RSA私钥
-des3:使用des3算法
-out :指定生成文件名
2048:私钥长度设置为2048

image-20230621151833827

去除私钥中的密码

openssl rsa -in server.pass.key -out server.key

rsa: 生成RSA私钥

-in:输入私钥文件

-out: 输出私钥文件

无密码:设置无密码的私钥文件

随后输入server.pass.key的密码。如图:

image-20230621154021717

image-20230621154213483

生成证书签名请求(.csr文件)

输入以下命令生成证书签名请求:

openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Zhejiang/L=Hangzhou/O=OrganizeName/OU=UnitName/CN=192.168.0.174"

req:生成证书签名请求
-new:新生成
-key:私钥文件
-out:指定生成的CSR文件名
-subj:生成CSR证书的参数

subj参数说明如下:

字段全称举例
/C=Country 国家CN
/ST=State or Province 州/省Zhejiang
/L=Location or City 城市Hangzhou
/O=Organization 组织/企业OrganizeName
/OU=Organization Unit 部门UnitName
/CN=Common Name 域名or IPwww.yourdomain.com 或者 192.168.x.x

image-20230621162346434

image-20230621162257265

生成自签名SSL证书(.crt文件)

openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt

image-20230621164408154

image-20230621164506161

-days:证书有效期

-req:需要证书

-in:输入csr文件

-signkey:指定 .key 文件

-out:输出crt文件

文件夹总共有4个文件,server.pass.key 、server.key、server.csr、server.crt。

其中配置nginx的话需要server.key和server.crt两个文件。

至此,证书生成完成。

X.509 证书包含三个文件:key,csr,crt
key是服务器上的私钥文件,用于对发送给客户端数据的加密,以及对从客户端接收到数据的解密
csr是证书签名请求文件,用于提交给证书颁发机构(CA)对证书签名
crt是由证书颁发机构(CA)签名后的证书,或者是开发者自签名的证书,包含证书持有人的信息,持有人的公钥,以及签署者的签名等信息
备注:在密码学中,X.509是一个标准,规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

image-20230621170451632

自签名证书的使用(以Nginx为例)

服务端上传SSL证书

Web服务器需要把server.crt发给浏览器验证,然后用server.key解密浏览器发送的数据。(剩下两个文件server.pass.keyserver.csr已经不需要了)。

image-20230626154433703

服务端配置443端口并使用SSL证书

以Nginx为例,我们在 %你的Nginx安装目录%/conf/nginx.conf 里添加对443端口的监听。

需要在server{...}中配置:

	server {
		#监听443端口
		listen       443 ssl; 
		server_name  127.0.0.1;
		#ssl证书的crt文件路径
		ssl_certificate     D:\\SSLCertificate\\server.crt;
		#ssl证书的key文件路径
		ssl_certificate_key D:\\SSLCertificate\\server.key;
		#反向代理
		location / {
			root   html;
			index  index.html index.htm;
			proxy_pass  http://127.0.0.1:7001;
			}
	}

image-20230626155337110

修改完成后,输入以下命令重新加载 nginx.conf 即可

D:
cd D:\Nginx
nginx -s reload

客户端访问https

如果一切顺利,打开浏览器,就可以通过HTTPS访问网站。第一次访问时会出现警告(因为我们的自签名证书不被浏览器信任)如图所示:

image-20230627090738002

方式一:强制浏览器和操作系统接受我们自己的证书颁发机构

一种做法是:点击【高级】->【继续前往192.168.x.x(不安全)】。

您可以强制浏览器和操作系统接受我们自己的证书颁发机构。因此,一旦安装 CA 证书并将其添加到受信任列表中,您将不会看到安全警告。

方式二:在您的浏览器/操作系统中安装证书授权

另一种做法:您还可以与您的开发团队共享 CA 证书,以便在他们的浏览器中安装。通过浏览器把证书导入并设置为“受信任”,以后该电脑访问网站就可以安全地连接Web服务器了。

  1. MAC 用户查看此指引
  2. Windows 用户查看此指引

参考文章

给Nginx配置一个自签名的SSL证书

使用OpenSSL生成自签名SSL证书

How to Create Self-Signed Certificates using OpenSSL

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/693004.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

python spider 爬虫 之 Selenium 系列 (-) Selenium

京东的 seckill 秒杀 专区 用 urllib 是获取不到的 回顾一下urllib 爬虫 # urllib 爬虫 from urllib import request headers {} url # 请求定制 req request(urlurl, headers headers) # 模拟请求 response request(req) content response.read().decode(utf-…

windows下安装Visual Studio + CMake+OpenCV + OpenCV contrib

目录 1 安装visual studio 2 安装CMake 3 OpenCV源码安装 3.1 OpenCV源码下载 3.2 OpenCV contrib源码下载 3.3 安装OpenCV 3.4 安装OpenCV-crontrib 3.5 VS生成代码 4 环境配置 最近在研究windows系统上部署安装目标检测算法,需要用到OpenCV软件&#xff…

智能指针+拷贝构造+vector容器+多态引起的bug

今天在调试一段代码的时候,VC编译提示: error C2280: “T485CommCtrlPara::T485CommCtrlPara(const T485CommCtrlPara &)”: 尝试引用已删除的函数 函数执行部分如下: 看意思是这个pComm485Pro已经消亡了,后续push_back到ve…

高速电路设计系列分享-信号链精度分析(中)

目录 概要 整体架构流程 技术名词解释 技术细节 1.直流无源误差 小结 概要 提示:这里可以添加技术概要 在任何设计中,信号链精度分析都可能是一项非常重要的任务,必须充分了解。之前, 我们讨论了在整个信号链累积起来并且最终会…

统一日志处理----AOP/面向切面编程

AOP Aspect Oriented Programing:面向切面编程 AOP是对OOP的补充,进一步提高编程的效率 AOP的常见使用场景有:权限检查、记录日志、事务管理等 如下图所示结构,每个模块都含有相同的系统需求,而这些需求和模块本身的功…

Flutter进阶-动画详解

目录 动画类别 一、隐式(全自动)动画 二、显式动画(手动控制) 三、其他动画(CustomPainter) 动画类别 Flutter 中有多种类型的动画: 隐式动画:通过更改部件属性自动触发的预定义动画,例如 …

什么是cookie

1、cookie是什么 Cookie,有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存…

Python强类型编程

Python是一门强类型的动态类型语言,具体如下特性: 可以动态构造脚本执行、修改函数、对象类型结构、变量类型但不允许类型不匹配的操作 第一个例子体现动态性:用字符串直接执行代码,动态构建了一个函数并执行,甚至给…

力扣744.寻找比目标字母大的最小字符(java暴力查找法,二分查找法)

题目描述: 给你一个字符数组 letters,该数组按非递减顺序排序,以及一个字符 target。letters 里至少有两个不同的字符。 返回 letters 中大于 target 的最小的字符。如果不存在这样的字符,则返回 letters 的第一个字符。 [外链…

岭回归(Ridge)不同alpha值对归回结果的影响

对于有些矩阵,矩阵中某个元素的一个很小的变动,会引起最后计算结果误差很大,这种矩阵称为“病态矩阵”。有些时候不正确的计算方法也会使一个正常的矩阵在运算中表现出病态。对于高斯消去法来说,如果主元(即对角线上的…

亚马逊测评:如何有效使用IP和养号设备环境

随着网络科技的崛起,越来越多的本土企业入驻亚马逊电子商务平台上,这导致了对产品评价需求的激增。然而,评价并非随意进行,它需要多方面的资源,并需要密切注意一些重要环节。以下是我分享给大家一些宝贵的知识&#xf…

如何实现敏捷交付中的自动化测试优化

在提及自动化测试的时候,很多人会把工具的使用等同于自动化测试。自动化测试应该是一个策略性的系统化工程,不只有自动化工具。自动化测试要发挥其频繁快速的质量反馈作用,还需要团队从文化和技术上去建设和学习。 提到敏捷交付,…

数据库监控与调优【十二】—— JOIN语句优化

JOIN语句优化-JOIN种类、算法与原理 JOIN的种类 笛卡尔连接(cross join) -- 举例:通过笛卡尔连接查询两张表的结果集和单查两张表的结果集对比 SELECT count( * ) FROM users a CROSS JOIN orders b; SELECT ( SELECT count( * ) FROM user…

SpringBoot + Vue前后端分离项目实战 || 四:用户管理功能实现

系列文章: SpringBoot Vue前后端分离项目实战 || 一:Vue前端设计 SpringBoot Vue前后端分离项目实战 || 二:Spring Boot后端与数据库连接 SpringBoot Vue前后端分离项目实战 || 三:Spring Boot后端与Vue前端连接 文章目录 前端…

微服务: sleuth和zipkin的用处与zipkin安装使用(下)

目录 0. 上篇传送门: 1. 前言简介 mq安装传送门: 微服务: 01-rabbitmq的应用场景及安装(docker) 1.1 Sleuth是一款分布式跟踪解决方案。 1.2 Zipkin是一个开源的分布式跟踪系统。 2. zipkin安装方式 2.1 windows下安装zipkin: 2.1.0 下载jar包位置 2.1.1 下载后,找…

数值计算例题整理

数值计算 一、误差的来源和分类二、有效数字第一个大题(非线性方程组的迭代法)第二个大题(LU分解)第三个大题(牛顿插值法)第四个大题(直线拟合) 一、误差的来源和分类 误差是描述数…

Git 原理和使用

Git 安装 Git是开放源代码的代码托管⼯具,最早是在Linux下开发的。开始也只能应⽤于Linux平台,后⾯慢慢的被移植到windows下,现在,Git可以在Linux、Unix、Mac和Windows这⼏⼤平台上正常运⾏了。 Linux-centos 安装git sudo yu…

8.3 PowerBI系列之DAX函数专题-矩阵Matrix中高亮显示最大最小值

需求 用颜色标量年度最大最小值 用颜色标示折线的最大值最小值 实现 在条件格式–规则–基于字段进行计算 度量值 is_max_min var displayed_data calculatetable( addcolumns( summarize(‘订单表’,‘产品表’[商品次级类别],‘订单表’[订单日…

arcgis栅格影像裁剪--shp

1、打开软件,导入数据,如下: 2、裁剪面形状如下,为shp文件: 3、在arctoolbox中找到"数据管理工具"--"栅格"--"栅格处理"--"裁剪"工具,如下: 4、打开裁…

(ESP32)报错-portTICK_RATE_MS‘ undeclared

(ESP32)报错-portTICK_RATE_MS undeclared 问题详情ESP- IDF未正确设置 问题详情 报错提示 portTICK_RATE_MS undeclared (first use in this function); did you mean portTICK_PERIOD_MS?具体情况 已经引用相关头文件,并且右键后可以大概…