发布于 1 年前
发布于 1 年前
梦忆安凉
更新于 1 年前
0
0
我是后端1台服务器,waf一台服务器,马上90天证书就要普及了,但是现在雷池和后端通信必须要可信任的证书,导致证书的部署和维护的成本增加了,我希望雷池可以出一个可以自签源服务器的域名证书的功能,那样源服务器的证书不需要维护那么频繁了
雷池 - 小小
更新于 1 年前
0
0
雷池和源站可以走 http 啊
风熙.
更新于 4 个月前
0
0
自行自签即可
例子:使用EC384-SHA384自签SSL证书
1openssl ecparam -genkey -name secp384r1 -out ca.key
# 删去这段内容
-----BEGIN EC PARAMETERS-----
BgXXXXXXX==
-----END EC PARAMETERS-----
openssl req -x509 -new -key ca.key -out ca.crt -days 3650 \
-subj "/C=CN/ST=Beijing/L=Beijing/O=MyOrganization/OU=IT Department/CN=My Root CA"
参数说明(按需修改):
C:国家代码(如CN/US)
ST:省份(可不填)
L:城市(可不填)
O:组织名称(必填)
OU:部门名称(必填)
CN:CA标识(必填,建议包含"CA"字样)
openssl ecparam -genkey -name secp384r1 -out server.key
[ req ]
default_bits = 384
prompt = no
default_md = sha384
distinguished_name = req_distinguished_name
req_extensions = v3_req
[ req_distinguished_name ]
C = CN
ST = Beijing
L = Beijing
O = MyOrganization
OU = Web Services
CN = myserver.com #主名称,如example.com,如127.0.0.1
[ v3_req ]
subjectAltName = @alt_names
[ alt_names ] # 备用名称 如*.example.com,如127.0.0.2,
DNS.1 = myserver.com
DNS.2 = www.myserver.com
IP.1 = 192.168.1.100
# 添加更多域名/IP ↓
# DNS.3 = api.myserver.com
# IP.2 = 10.0.0.200
openssl req -new -key server.key -out server.csr -config server.cnf
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial \
-out server.crt -days 365 -sha384 -extfile server.cnf -extensions v3_req
此时,ca.crt是你的CA根证书公钥,ca.key是你的根证书私钥
service.crt是你的服务器证书公钥,service.key是你的服务器证书私钥
