为认证系统生成自签名数字证书

  出于安全考虑,认证系统多采用HTTPS协议,该协议是在HTTP的基础上引入SSL,为实现数据的安全性、完整性和保密性需要使用到权威机构颁发的数字证书。但出于成本考虑,在系统开发和测试阶段一般不会向CA申请数字证书。这时候就需要生成自签名证书。在CentOS上可以使用openssl生成自己的数字证书。以下是为使用IdentityServer4的AspNetCore3.1项目启用HTTPS的示例。

  1.生成RSA私钥

openssl genrsa -des3 -out default.key 2048

  

  2.生成证书签名请求(CSR)文件

openssl req -new -key default.key -out default.csr

  按要求填写指定信息即可,需要特别指出的是如果没有域名的话,CN(Common Name)也可以设置为IP地址。

  

  3.生成证书

openssl x509 -req -days 365 -in default.csr -signkey default.key -out default.crt

  

  4.让服务器(这里是CentOS8)信任该证书

  拷贝default.crt的内容,追加至/etc/pki/tls/certs中的ca-bundle.trust.crt尾部。

  

  5.生成PFX文件

openssl pkcs12 -export -out default.pfx -inkey default.key -in default.crt

  

  6.使用PFX文件

  将生成的default.pfx文件拷贝至项目有权限访问的目录,比如项目根目录,多个项目的公共目录等。

  

  7.在项目的Program中找到CreateHostBuilder,添加如下片段

.UseKestrel(options =>
{
    options.Listen(IPAddress.Any, 5001, listenOptions =>
    {
        listenOptions.UseHttps("default.pfx", "123456");
    });
});

  

  8.发布项目至CentOS

  访问https://ip:port/.well-known/openid-configuration

posted on 2021-02-24 21:01  庭前花满留晚照  阅读(188)  评论(0编辑  收藏  举报

导航