在Linux下如何根據域名自簽發各種SSL證書,這里我們以Apache、Tomcat、Nginx為例。
openssl自簽發泛域名(通配符)證書
首先要有openssl工具,如果沒有那么使用如下命令安裝:
yum install -y openssl openssl-devel
修改openssl.cnf配置文件
具體修改如下
1 [root@docker02 ~]# vim /etc/pki/tls/openssl.cnf 2 [ req ] 3 ……………… 4 # 將如下配置的注釋放開 5 req_extensions = v3_req # The extensions to add to a certificate request 6 ……………… 7 [ v3_req ] 8 9 # Extensions to add to a certificate request 10 11 basicConstraints = CA:FALSE 12 keyUsage = nonRepudiation, digitalSignature, keyEncipherment 13 # 添加如下行 14 subjectAltName = @SubjectAlternativeName 15 16 # 同時增加如下信息 17 [SubjectAlternativeName] 18 DNS.1 = zhangbook.com 19 DNS.2 = *.zhangbook.com
說明:本次我們以 *.zhangbook.com 泛域名為例。
創建根證書
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 ## 創建CA私鑰 5 [root@docker02 ssl]# openssl genrsa -out CA.key 2048 6 ## 制作CA公鑰 7 [root@docker02 ssl]# openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf 8 ……………… 9 Country Name (2 letter code) [XX]:CN 10 State or Province Name (full name) []:BJ 11 Locality Name (eg, city) [Default City]:BeiJing 12 Organization Name (eg, company) [Default Company Ltd]:BTC 13 Organizational Unit Name (eg, section) []:MOST 14 Common Name (eg, your name or your server's hostname) []:Light Zhang # 這里就是證書上的:頒發者 15 Email Address []:ca@test.com
當然上述的公鑰制作方式需要交互式輸入信息,如果不想頻繁輸入,那么可以使用如下命令:
1 ## 免交互式制作CA公鑰 2 openssl req -sha256 -new -x509 -days 36500 -key CA.key -out CA.crt -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=Light Zhang/emailAddress=ca@test.com"
subj內容詳解:
1 C = Country Name (2 letter code) 2 ST = State or Province Name (full name) 3 L = Locality Name (eg, city) [Default City] 4 O = Organization Name (eg, company) [Default Company Ltd] 5 OU = Organizational Unit Name (eg, section) 6 CN = Common Name (eg, your name or your server's hostname) 7 emailAddress = Email Address
此時的的文件有:
1 [root@docker02 ssl]# ll 2 total 32 3 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt 4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key
自簽發泛域名證書
操作步驟為:
- 生成域名私鑰
- 生成證書簽發請求文件
- 使用自簽署的CA,生成域名公鑰
具體如下:
1 ### 當前目錄 /root/software/ssl 2 # 生成 zhangbook.com.key 密鑰 3 openssl genrsa -out zhangbook.com.key 2048 4 # 生成 zhangbook.com.csr 證書簽發請求 交互式 5 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf 6 ……………… 7 ##### 產生的交互式內容與填寫如下 8 Country Name (2 letter code) [XX]:CN 9 State or Province Name (full name) []:BJ 10 Locality Name (eg, city) [Default City]:BeiJing 11 Organization Name (eg, company) [Default Company Ltd]:BTC 12 Organizational Unit Name (eg, section) []:MOST 13 Common Name (eg, your name or your server's hostname) []:*.zhangbook.com # 這里就是證書上的:頒發給 14 Email Address []:ca@test.com 15 16 Please enter the following 'extra' attributes 17 to be sent with your certificate request 18 A challenge password []:123456 19 An optional company name []:BTC 20 ……………… 21 # 生成 zhangbook.com.csr 證書簽發請求 非交互式 22 openssl req -new -sha256 -key zhangbook.com.key -out zhangbook.com.csr -config /etc/pki/tls/openssl.cnf -subj "/C=CN/ST=BJ/L=BeiJing/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com"
PS1:上面的Common Name 就是在這步填寫 *.zhangbook.com ,表示的就是該證書支持泛域名,common name一定要在SubjectAlternativeName中包含
PS2:進行CA簽名獲取證書時,需要注意國家、省、單位需要與CA證書相同,否則會報異常
查看簽名請求文件信息
openssl req -in zhangbook.com.csr -text
使用自簽署的CA,簽署zhangbook.com.crt
openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf
這里證書有效時間為100年。
PS1:即便是你前面是sha256的根證書和sha256的請求文件,如果這里不加 -md sha256,那么默認是按照sha1進行簽名的
PS2:在執行時,可能出現如下錯誤
異常問題1:
1 Using configuration from /etc/pki/tls/openssl.cnf 2 /etc/pki/CA/index.txt: No such file or directory 3 unable to open '/etc/pki/CA/index.txt' 4 140652962035600:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/index.txt','r') 5 140652962035600:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:這時我們創建該文件即可
touch /etc/pki/CA/index.txt
異常問題2:
然后我們繼續使用 【自簽署的CA,簽署zhangbook.com.crt】;結果又出現新問題
1 Using configuration from /etc/pki/tls/openssl.cnf 2 /etc/pki/CA/serial: No such file or directory 3 error while loading serial number 4 140087163742096:error:02001002:system library:fopen:No such file or directory:bss_file.c:402:fopen('/etc/pki/CA/serial','r') 5 140087163742096:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:404:
處理:使用如下命令即可。表示:用來跟蹤最后一次頒發證書的序列號。
echo "01" > /etc/pki/CA/serial
之后我們再次執行 【自簽署的CA,簽署zhangbook.com.crt 】 就正常了。詳情如下:
1 [root@docker02 ssl]# openssl ca -in zhangbook.com.csr -md sha256 -days 36500 -out zhangbook.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config /etc/pki/tls/openssl.cnf 2 Using configuration from /etc/pki/tls/openssl.cnf 3 Check that the request matches the signature 4 Signature ok 5 Certificate Details: 6 Serial Number: 1 (0x1) 7 Validity 8 Not Before: Oct 2 03:42:39 2020 GMT 9 Not After : Sep 8 03:42:39 2120 GMT 10 Subject: 11 countryName = CN 12 stateOrProvinceName = BJ 13 organizationName = BTC 14 organizationalUnitName = MOST 15 commonName = *.zhangbook.com 16 emailAddress = ca@test.com 17 X509v3 extensions: 18 X509v3 Basic Constraints: 19 CA:FALSE 20 X509v3 Key Usage: 21 Digital Signature, Non Repudiation, Key Encipherment 22 X509v3 Subject Alternative Name: 23 DNS:zhangbook.com, DNS:*.zhangbook.com 24 Certificate is to be certified until Sep 8 03:42:39 2120 GMT (36500 days) 25 Sign the certificate? [y/n]:y <== 需要輸入的 26 27 28 1 out of 1 certificate requests certified, commit? [y/n]y <== 需要輸入的 29 Write out database with 1 new entries 30 Data Base Updated
說明:此時我們再看,/etc/pki/CA/index.txt 和 /etc/pki/CA/serial 文件信息。如下:
1 [root@docker02 ~]# cat /etc/pki/CA/index.txt 2 V 21200908034239Z 01 unknown /C=CN/ST=BJ/O=BTC/OU=MOST/CN=*.zhangbook.com/emailAddress=ca@test.com 3 [root@docker02 ~]# 4 [root@docker02 ~]# cat /etc/pki/CA/serial 5 02
由上可知:域名簽署信息已經保存到index.txt文件;並且證書序列serial文件已經更新【從01變為了02】。
PS:
- 同一個域名不能簽署多次;由於簽署了
*.zhangbook.com,且已經被記錄,因此不能再次被簽署。除非刪除該記錄。 - 注意index.txt文件和serial文件的關系。serial文件內容為index.txt文件內容行數加1。
查看證書信息
openssl x509 -in zhangbook.com.crt -text
驗證簽發證書是否有效
1 [root@docker02 ssl]# openssl verify -CAfile CA.crt zhangbook.com.crt 2 zhangbook.com.crt: OK
此時的文件有:
1 [root@docker02 ssl]# ll 2 total 32 3 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt 4 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key 5 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt 6 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr 7 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key
此時我們已經完成自簽發證書。
證書格式轉換
實際工作和生產環境中,可能需要各種各樣的證書格式。下面我們將證書轉換為常用的其他證書格式。
將crt轉pem格式
命令如下:
openssl x509 -in zhangbook.com.crt -out zhangbook.com.pem -outform PEM
生成 p12 格式的證書
利用生成的CA根證書和服務證書的crt 和 key 文件生成 p12 文件
openssl pkcs12 -export -in zhangbook.com.crt -inkey zhangbook.com.key -passin pass:CS2i1QkR -name *.zhangbook.com -chain -CAfile CA.crt -password pass:CS2i1QkR -caname *.zhangbook.com -out zhangbook.com.p12
PS:p12證書的password為CS2i1QkR
查看p12證書信息【keytool命令依賴於Java,因此需要先安裝Java】
1 [root@docker02 ssl]# keytool -rfc -list -keystore zhangbook.com.p12 -storetype pkcs12 2 Enter keystore password: <== 輸入:CS2i1QkR 3 Keystore type: PKCS12 4 Keystore provider: SunJSSE 5 6 Your keystore contains 1 entry 7 ………………
轉換 p12 證書為 jks 證書文件
使用jdk keytool工具進而生成tomcat/jboss端使用的證書文件【需要安裝 Java】。
具體如下:
1 [root@docker02 ssl]# keytool -importkeystore -srckeystore zhangbook.com.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore zhangbook.com.jks 2 Importing keystore zhangbook.com.p12 to zhangbook.com.jks... 3 Enter destination keystore password: <== 輸入 jks 證書的密碼,如:CS2i1QkR 4 Re-enter new password: <== 重復輸入 jks 證書的密碼,如:CS2i1QkR 5 Enter source keystore password: <== 輸入 p12 證書的密碼,這里是:CS2i1QkR 6 Entry for alias *.zhangbook.com successfully imported. 7 Import command completed: 1 entries successfully imported, 0 entries failed or cancelled 8 9 Warning: 10 The JKS keystore uses a proprietary format. It is recommended to migrate to PKCS12 which is an industry standard format using "keytool -importkeystore -srckeystore zhangbook.com.jks -destkeystore zhangbook.com.jks -deststoretype pkcs12".
PS:p12證書和jks證書的密碼相同,防止出現各種異常情況。
利用 jks 證書生成 cer 證書
具體如下
keytool -export -alias *.zhangbook.com -keystore zhangbook.com.jks -storepass CS2i1QkR -file zhangbook.com.cer
-storepass CS2i1QkR 為jks證書密碼
利用 cer 證書文件生成 jdk 所使用的文件
具體如下
keytool -import -alias *.zhangbook.com -keystore cacerts -file zhangbook.com.cer
目前存在文件說明
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# ll 5 total 52 6 -rw-r--r-- 1 root root 1018 Oct 2 14:24 cacerts ## jdk 所使用的文件 7 -rw-r--r-- 1 root root 1387 Oct 2 10:25 CA.crt ## CA公鑰 8 -rw-r--r-- 1 root root 1679 Oct 2 10:04 CA.key ## CA私鑰 9 -rw-r--r-- 1 root root 946 Oct 2 14:21 zhangbook.com.cer ## cer證書 10 -rw-r--r-- 1 root root 4364 Oct 2 11:42 zhangbook.com.crt ## zhangbook.com域名 CA簽發公鑰 11 -rw-r--r-- 1 root root 1151 Oct 2 10:48 zhangbook.com.csr ## zhangbook.com域名 證書簽發請求 12 -rw-r--r-- 1 root root 3303 Oct 2 14:13 zhangbook.com.jks ## jks證書 13 -rw-r--r-- 1 root root 1679 Oct 2 10:44 zhangbook.com.key ## zhangbook.com域名 私鑰 14 -rw-r--r-- 1 root root 3716 Oct 2 14:02 zhangbook.com.p12 ## p12格式證書 15 -rw-r--r-- 1 root root 1338 Oct 2 13:56 zhangbook.com.pem ## zhangbook.com域名 PEM文件
SSL證書使用
修改本地Windows的hosts文件,用於域名解析
1 文件位置:C:\WINDOWS\System32\drivers\etc\hosts 追加如下信息 2 # zhangbook.com 3 172.16.1.32 www.zhangbook.com blog.zhangbook.com auth.zhangbook.com
其中172.16.1.32為測試使用的Linux機器,后面會部署WEB服務。由於自簽發的是泛域名證書,因此可以有多個二級域名。
后面訪問的時候,既可以使用域名訪問,也可以使用IP訪問。【推薦】使用域名訪問。
Apache服務的SSL證書使用
1、將Apache httpd用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.crt zhangbook.com.key zhangbook.com.pem /etc/pki/tls/certs
2、在Linux機器安裝httpd服務並添加ssl插件
1 yum install -y httpd 2 yum install -y mod_ssl openssl # 執行后,會增加 /etc/httpd/conf.d/ssl.conf 文件
3、在httpd添加SSL配置
1 [root@docker02 conf.d]# pwd 2 /etc/httpd/conf.d 3 [root@docker02 conf.d]# 4 [root@docker02 conf.d]# vim ssl.conf 5 <VirtualHost _default_:443> 6 # General setup for the virtual host, inherited from global configuration 7 #DocumentRoot "/var/www/html" 8 ……………… 9 # 修改如下3行 10 SSLCertificateFile /etc/pki/tls/certs/zhangbook.com.crt 11 SSLCertificateKeyFile /etc/pki/tls/certs/zhangbook.com.key 12 # 如下行可以注釋掉,也可以取消注釋 13 #SSLCertificateChainFile /etc/pki/tls/certs/zhangbook.com.pem 14 ……………… 15 </VirtualHost>
4、向VirtualHost的默認目錄添加文件
echo "Apache web" > /var/www/html/index.html
5、啟動httpd服務
systemctl start httpd
6、瀏覽器訪問
1 https://172.16.1.32/ 2 https://www.zhangbook.com/ 3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、驗證完畢,停止httpd服務
systemctl stop httpd
Nginx服務的SSL證書使用
1、在Linux機器安裝nginx服務
yum install -y nginx
通過 nginx -V 可見,--with-http_ssl_module 已安裝。
2、將nginx用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.key zhangbook.com.crt /etc/nginx/cert
3、在nginx添加SSL配置
1 [root@docker02 nginx]# pwd 2 /etc/nginx 3 [root@docker02 nginx]# 4 [root@docker02 nginx]# vim nginx.conf 5 ……………… 6 server { 7 listen 80; 8 listen [::]:80; 9 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com; 10 return 301 https://$server_name$request_uri; 11 } 12 13 # Settings for a TLS enabled server. 14 server { 15 listen 443 ssl http2 default_server; 16 listen [::]:443 ssl http2 default_server; 17 server_name www.zhangbook.com blog.zhangbook.com auth.zhangbook.com; 18 root /usr/share/nginx/html; 19 20 ssl_certificate "/etc/nginx/cert/zhangbook.com.crt"; 21 ssl_certificate_key "/etc/nginx/cert/zhangbook.com.key"; 22 ssl_session_cache shared:SSL:1m; 23 ssl_session_timeout 10m; 24 ssl_ciphers HIGH:!aNULL:!MD5; 25 ssl_prefer_server_ciphers on; 26 27 # Load configuration files for the default server block. 28 include /etc/nginx/default.d/*.conf; 29 30 location / { 31 index index.html index.htm; 32 } 33 } 34 ………………
4、向WEB站點添加html文件
echo "Nginx web" > /usr/share/nginx/html/index.html
5、啟動nginx服務
systemctl start nginx.service
6、瀏覽器訪問
1 https://www.zhangbook.com/ 2 https://blog.zhangbook.com 3 https://auth.zhangbook.com
7、驗證完畢,停止nginx服務
systemctl stop nginx
Tomcat服務的SSL證書使用
1、下載Tomcat。
1 [root@docker02 App]# pwd 2 /root/App 3 [root@docker02 App]# 4 [root@docker02 App]# wget https://mirrors.bfsu.edu.cn/apache/tomcat/tomcat-8/v8.5.58/bin/apache-tomcat-8.5.58.tar.gz 5 [root@docker02 App]# 6 [root@docker02 App]# tar xf apache-tomcat-8.5.58.tar.gz 7 ### 查看Java版本信息 8 [root@docker02 App]# java -version 9 java version "1.8.0_231" 10 Java(TM) SE Runtime Environment (build 1.8.0_231-b11) 11 Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode) 12 ### 查看Tomcat版本信息 13 [root@docker02 bin]# pwd 14 /root/App/apache-tomcat-8.5.58/bin 15 [root@docker02 bin]# 16 [root@docker02 bin]# ./version.sh 17 ………………
2、將Tomcat用到的證書拷貝到指定目錄
1 [root@docker02 ssl]# pwd 2 /root/software/ssl 3 [root@docker02 ssl]# 4 [root@docker02 ssl]# cp -a zhangbook.com.jks /root/App/apache-tomcat-8.5.58/conf/cert/
3、在Tomcat添加SSL配置
1 [root@docker02 conf]# pwd 2 /root/App/apache-tomcat-8.5.58/conf 3 [root@docker02 conf]# 4 [root@docker02 conf]# vim server.xml 5 ……………… 6 <Connector port="80" protocol="HTTP/1.1" 7 connectionTimeout="20000" 8 redirectPort="443" /> 9 ……………… 10 ### 其中Connector標簽中的子標簽 SSLHostConfig 已去掉 11 <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol" 12 maxThreads="600" SSLEnabled="true" clientAuth="false" keystoreFile="/root/App/apache-tomcat-8.5.58/conf/cert/zhangbook.com.jks" 13 keystorePass="CS2i1QkR" keystoreType="JKS" scheme="https" secure="true" 14 sslProtocol="TLS" compression="on" acceptorThreadCount="2" connectionTimeout="20000"> 15 </Connector> 16 ………………
4、向WEB站點添加html文件
1 [root@docker02 ROOT]# pwd 2 /root/App/apache-tomcat-8.5.58/webapps/ROOT 3 [root@docker02 ROOT]# 4 [root@docker02 ROOT]# echo 'Tomcat web' > index.html
PS:原ROOT目錄下的文件已移走。
5、啟動Tomcat服務
1 [root@docker02 bin]# pwd 2 /root/App/apache-tomcat-8.5.58/bin 3 [root@docker02 bin]# 4 [root@docker02 bin]# sh startup.sh
6、瀏覽器訪問
1 https://172.16.1.32/ 2 https://www.zhangbook.com/ 3 https://blog.zhangbook.com 4 https://auth.zhangbook.com
7、驗證完畢,停止Tomcat服務
1 [root@docker02 bin]# pwd 2 /root/App/apache-tomcat-8.5.58/bin 3 [root@docker02 bin]# 4 [root@docker02 bin]# sh shutdown.sh
相關閱讀
———END———
如果覺得不錯就關注下唄 (-^O^-) !
