OpenSSL 生成自签署证书

slug
gen-ssl-cert
tags
openssl
cert
date
Aug 5, 2024
summary
一键生成 OpenSSL 自签署证书。
status
Published
type
Post

一、准备

克隆项目
git clone <https://code.wangyan.cloud/wangyan/gen-ssl-cert.git> /tmp/gen-ssl-cert
初始化工作目录
cd /tmp/gen-ssl-cert
make init
分别修改 ica.cnfca.cnf 配置文件中的 Custom Section单元,自定义服务器域名和IP地址
[ alt_section ]
DNS.1                   = wangyan.cloud
DNS.2                   = *.wangyan.cloud
IP.1                    = 119.29.17.197
IP.2                    = 101.32.204.113

[crl_section]
URI = <http://safe.wangyan.cloud/crl/ica-crl.pem>

[ocsp_section]
OCSP;URI = <http://ocsp.wangyan.cloud>
Makefile 文件中,查找 subjectAltNamesubj 部分,自定义服务器域名和IP地址
-subj "/C=CN/ST=Guangdong/L=Zhuhai/O=Selfsigned/CN=wangyan.cloud" \
-addext "subjectAltName = IP:119.29.17.197,DNS:wangyan.cloud"

二、自签署 CA 根证书

2.1. 创建 CA KEY

make gen-ca-key

2.2. 创建 CA 请求文件

make gen-ca-csr

2.3. 创建 CA 根证书

# 根据上面请求文件,生成CA证书
make gen-ca-cert

2.4. 查看 CA 根证书详情(可选)

make view-ca-cert

三、自签署中间证书

3.1. 创建中间证书KEY

make gen-ica-key

3.2. 创建中间证书请求文件

make gen-ica-csr

3.3. 创建中间证书

make gen-ica-cert

3.4. 查看中间证书详情(可选)

make view-ica-cert

3.5. 合成中间证书链(可选)

将CA证书与中间证书合并
make gen-ica-chain

四、自签署服务器证书

4.1. 创建服务器证书KEY

make gen-server-key

4.2. 创建服务器证书请求文件

修改 Makefile 文件 gen-server-csr 单元的值
# 将域名 wangyan.cloud 和 IP 地址改成自己服务器的
openssl req -config ica.cnf \
	-new -sha256 \
    -key ica/private/server-key.pem \
    -subj "/C=CN/ST=Guangdong/L=Zhuhai/O=Selfsigned/CN=wangyan.cloud" \
    -out ica/csr/server-csr.pem \
	-addext "subjectAltName = IP:119.29.17.197,IP:101.32.204.113,DNS:wangyan.cloud,DNS:*.wangyan.cloud"
生成证书请求文件
make gen-server-csr

4.3. 创建服务器证书

make gen-server-cert

4.4. 查看服务器证书详情(可选)

make view-server-cert

4.5. 合成完整服务器证书(可选)

make gen-server-full

五、自签署客户端证书(可选)

客户端证书与服务器证书生成过程一致,不再展开。
make gen-client-key
# 同样要修改Makefile 文件 gen-client-csr 单元的值
make gen-client-csr
make gen-client-cert
make view-client-cert
# 创建 PKCS12 证书
make gen-client-pkcs12
客户端证书与服务器证书区别体现在用途上,详见 ica.cnf 配置文件
# The Client Certificate
[ usr_cert ]
keyUsage                = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment, keyAgreement
extendedKeyUsage        = clientAuth,codeSigning,emailProtection,timeStamping

# The Server Certificate
[ server_cert ]
keyUsage                = digitalSignature, nonRepudiation, keyAgreement
extendedKeyUsage        = serverAuth

六、吊销证书 CRL(可选)

创建证书吊销列表

make gen-ica-crl

吊销客户端证

吊销上面生成的客户端证书 client-cert.crt
make gen-ica-revoke-client

七、OCSP 证书查询(可选)

创建OCSP服务器证书

make gen-ocsp-key
# 修改 Makefile 文件 gen-ocsp-csr 单元的值,自定义域名和IP地址。
make gen-ocsp-csr
make gen-ocsp-cert

运行OCSP服务器

make run-ocsp-server

连接OCSP检查证书状态

make chk-ocsp-cert
If you have any questions, please contact me.