Windows下使用openssl生成x509v3（https）证书的小脚本

solst

2024/11/17 杂谈
1.目前标准域名系统中“.local"后缀用于本地域名系统
2.即使在本地，我认知中，是不能使用任意自定义后缀的，浏览器不能识别。
3.如果你只有极少数服务（个位数），那么你的本地域名可以不用后缀，可以在浏览器直接访问”域名/“，比如http://example/，浏览器可以识别。
当然如果要使用这种方式访问服务，那么你必须在hosts加入这个解析。比如 192.168.2.1 example/
4.我自己在内部部署了dns服务，所以使用一个域名后缀会方便些，然而.local后缀我觉得太长了，放弃。然后我使用了某个不知名小国的域名后缀。
反正国内访问这个域名后缀的概率极低极低，而且还要恰巧完整域名相同才会访问异常，推荐。
这种域名后缀直接搜索引擎搜国家域名后缀列表，大概率能找到（别点到广告了）


2024/11/11 杂谈
1.https是为解决数据传输过程中加密的问题。
2.自签证书主要是为了解决访问一些自建https的服务提示“你的连接不是专用连接”问题。
将生成的ca导入到客户端可信任的根证书，将crt和key部署到服务器，再访问服务器就不会再有不安全的提示了。
3.如果要申请各大厂商（微软、谷歌、360啥的）内置ca的证书目前有两种方法，1.使用let's encrypt的证书，缺点是必须在互联网环境下才能自动续期，否则申请一次只有3个月的有效期。2.购买商业证书，缺点是要花钱。
优点是不用导入ca，在服务器部署crt和key就能直接识别了。
4.这个小工具对nas发烧友很有用，群晖，esxi等默认开启了https，浏览器缓存过期就会弹提示。而且而且服务使用人数少，导入ca的难度低，且对终端来说导入一次CA，终身有效。
导入证书前：


导入证书后：


2024/11/5 Ver 0.45
1.一个实用的小改动，生成证书成功后自动打开文件路径
Ver0.45.zip (2.89 MB, 下载次数: 18)

2024-11-5 15:12 上传

点击文件名下载附件

2024/10/25 杂谈
有个想法，专门打包个sed程序用来替换文本。
测试，在网上找到了sed的一体包，但是实际使用时没有意料中好用，0.4p版本可用性还是有的，暂时放弃这个想法。
另外，生成的证书经过测试目前在部署到网站最可靠，我尝试部署到华为交换机和openvpn失败了。

2024/10/25 Ver0.4p
这是一个开箱即用的版本，打包了openssl-3.4程序
解压后运行"开始流程.bat"
Ver0.43.zip (2.89 MB, 下载次数: 25)

2024-10-25 17:50 上传

点击文件名下载附件

1.修复IP地址字段替换失败
2.修改脚本字段时的字段解释”CN=通用名称（ca签发者名称或证书域名）,OU=组织单位名称,O=组织名称,L=城市或区域名称,ST=州或省份名称,C=单位的两字母国家代码”


2024/10/25 Ver0.3a
1.增加一个环境配置脚本，首次使用运行此脚本可以生成对应的文件\文件夹。
环境变量脚本需要输入openssl安装路径，因此可以在有权限的任意位置运行。
本来也可通过环境变量脚本把安装路径写入生成证书的脚本实现任意位置运行的，越改越复杂了，先这样用。
2.强烈建议通过全文替换的方式配置自己的信息，“openssl.cnf”和“生成证书.cmd”需要同时替换，否则报错。
3.经我测试，我脚本目前能实现的功能安装light版本的openssl就行（Win64OpenSSL_Light-3_4_0.msi)，只有几兆，而完整版本安装包上百兆，各自按需选择吧！
Ver0.3a4.zip (7.16 KB, 下载次数: 2)

2024-10-25 17:39 上传

点击文件名下载附件

2024/10/23 Ver0.3
1.修改判断到未生成CA后进入生成CA流程而不是直接退出脚本，小小的优化了一下。


2024/10/23 Ver0.21
1.“需求2：域名或ip输入为空时删除字段行。”，考虑到部分朋友喜欢直接修改脚本，保留原版本（在这个贴子底部），增加Ver0.2。
Ver0.22.zip (8.06 KB, 下载次数: 4)

2024-10-23 16:47 上传

点击文件名下载附件

2024/10/22 初版
我自己是个小白，折腾自签证书时一直没找到开源免费好用的工具（防喷，不是没有，是我能力有限，没找到），无奈东拼西凑写了个脚本自用。
1.首先要安装openssl，安装包可以从openssl认可的二进制编译发布网站下载。https://slproweb.com/products/Win32OpenSSL.html

2.进入二进制程序所在目录，通常默认为C:\Program Files\OpenSSL-Win64\bin（Windows 64位），一定要结合自己的实际情况操作，不要盲从！！！

3.配置openssl.cnf 及证书生成的文件路径。

4.下载脚本，放到C:\Program Files\OpenSSL-Win64\bin。

lyliucn

很不错的工具，学习。

solst

思の凡 发表于 2024-11-13 09:11
使用Ver 0.45，不做任何修改，执行cmd填入信息，会报错终止

4、生成用户证书

1.提醒：“.net”是互联网域名，如果部署了我这个小工具的生成的脚本，互联网没导入ca访问这个网站还是会提示“连接不安全巴拉巴拉”
2.报错很明显了，在 baseCA目录下没有ca.key文件，检查一下。。生成证书需要同时有匹配的ca.crt和ca.key。
3.杂谈，ca.key是私钥，ca.crt是证书，而证书基本都是公开的，如果任何一个ca机构的私钥泄露，将造成严重损失。。你要是能拿到微软的ca私钥，你就可以生成windows下直接可信的服务器证书

shawn215

xca这个工具可以了解一下

solst

shawn215 发表于 2024-10-22 14:55
xca这个工具可以了解一下

也许是个不错的工具，不过从描述来看光是构建就有一定难度

xxy2191

谢谢分享！

小酒窝

是就早发几天就好了，前几天比赛正好用上

当初遇你时

感谢大佬的分享

xixicoco

有点意思的脚本

L__

这脚本有点意思

bugeshan

感谢大佬分享！