大家好,又见面了,我是你们的朋友全栈君。
一 安装 openssl
wget http://www.openssl.org/source/openssl-1.0.0a.tar.gz
tar zxvf openssl-1.0.0a.tar.gz
cd openssl-1.0.0a
./config –prefix=/usr/local/openssl
make && make install
二 创建主证书
先创建一个 ssl的目录:
mkdir ssl
copy CA.sh文件:
cp /usr/local/openssl/ssl/misc/CA.sh /etc/aaron/ssl
创建证书
./CA.sh -newca
中间填写的一些资料:
countryName = cn
stateOrProvinceName = shandong
organizationName = teamsourcing
organizationalUnitName = develop
commonName = www.mydomain.com
emailAddress = mydomain@gmail.com
生成成功的话,会在ssl目录下面产生一个文件夹demoCA,demoCA/private/cakey.pem是CA证书的私钥文件,demoCA/cacert.pem是CA证书。
可以规整一下:
cp demoCA/private/cakey.pem ca.key
cp demoCA/cacert.pem ca.crt
三 生成服务器证书
生成服务器私钥:
openssl genrsa -des3 -out server.key 1024
生成服务器证书请求:
openssl req -new -key server.key -out server.csr
生成服务器证书并签名:
mv server.csr newreq.pem
./CA.sh -sign
mv newcert.pem server.crt
可以使用以下命令查看服务器证书的内容:
openssl x509 -noout -text -in server.crt
可以用以下命令验证服务器证书:
openssl verify -CAfile ca.crt server.crt
解密 server key:
openssl rsa -in server.key -out my-server.key
四 客户证书
生成客户私钥:
openssl genrsa -des3 -out client.key 1024
生成客户证书签名请求:
openssl req -new -key client.key -out client.csr
生成客户证书(使用CA证书签名)
openssl ca -in client.csr -out client.crt
证书转换成浏览器认识的格式
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
五 证书列表
如果使用双向认证,就会有三个私钥和三个证书。分别是
ca.key, ca.crt, server.key, server.crt, client.key, client.crt,以及给浏览器的client.pfx。
如果使用有CA证书的单向认证,证书和私钥就是ca.key, ca.crt, server.key, server.crt。
如果使用无CA证书的单向认证,证书和私钥就是server.key, server.crt。
当系统自带一个openssl时,再安装一个oppenssl,当我们生成证书的时候,会出现一些问题:
Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /usr/local/ssl/test/my_CA/private/./cakey.pem:
I am unable to access the ../../CA/newcerts directory
../../CA/newcerts: No such file or directory
系统本身带了一个openssl,此ca脚本直接调用该/usr/bin/openssl ,而该openssl所用的配置文件是 /etc/pki/tls/openssl.cnf
第一步:
现在更改ca.sh让其使用自己的/usr/local/ssl/bin/openssl ,从而调用自己cnf文件 /usr/local/ssl/openssl.cnf
# default openssl.cnf file has setup as per the following
# demoCA … where everything is stored
if [ -z “$OPENSSL” ]; then OPENSSL=openssl; fi
DAYS=”-days 365″ # 1 year
CADAYS=”-days 1095″ # 3 years
REQ=”/usr/local/openssl/bin/openssl req $SSLEAY_CONFIG”
CA=”/usr/local/openssl/bin/openssl ca $SSLEAY_CONFIG”
VERIFY=”/usr/local/openssl/bin/openssl verify”
X509=”/usr/local/openssl/bin/openssl x509″
就是将原来的$OPENSSL的换成了/usr/local/openssl/bin/openssl
第二步
同时修改 /etc/pki/tls/openssl.cnf
[ CA_default ]
dir = ../../CA # Where everything is kept
为
[ CA_default ]
dir = ./demoCA # Where everything is kept
当然,也可以直接修改 第二步,您可以自己再验证下
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/191671.html原文链接:https://javaforall.cn