openssl自建CA证书

回复 收藏
1. 准备
    1) 在工作目录下新建目录 demoCA、demoCA/private、demoCA/newcerts(工作目录:/home/userName)
    2) 在demoCA建立一个空文件 index.txt
    3) 在demoCA建立一个文本文件 serial, 没有扩展名,内容是一个合法的16进制数字,例如 0000
    4) 配置环境变量PATH,加入%JAVA_HOME%/bin(如果安装了多个版本的jdk,最好暂时都在环境变量中去掉,只保留一个)

    5) 修改openssl.cnf文件,将生成目录切换到我们自己新建的工作目录中;
        dir = /home/userName/demoCA # Where everything


   
2. 生成CA签名证书(在命令终端,将目录切换到/home/userName/demoCA,一直在该目录下操作)
    openssl req -new -x509 -keyout ca.key -out ca.cer -days 3650
    req命令表示创建证书,new参数表示创建私钥而不是从已存在的文件中读取。
    输入证书信息时,Country Name填入CN,Common Name输入单位名称,即最后显示的颁发者。
    执行完之后,生成ca.key 和ca.cer文件
http://file:///C:/Users/fengyw/AppData/Local/YNote/data/sina1791121221/8a5d0ee34c7e47b1bec9c1cfaf47b3a8/clipboard.png


   
3.  生成server端待签证书
        1) 首先要生成服务器端的私钥(key文件):
        openssl genrsa -des3 -out server.key 1024
        运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
        去除key文件口令的命令:
        openssl rsa -in server.key -out server.key


        2) 生成csr(cer)证书

            openssl req -new -key server.key -out server.csr
        生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.(输入common name时,要和服务器的域名保持一致,test.baidu.com,)



   
4. 用生成的CA证书对服务器端的证书进行签名
        openssl ca -in server.csr -out server.cer -cert ca.cer -keyfile ca.key
        在签名时,如果报“The stateOrProvinceName field needed to be the same in the CA certificate”,是因为在openssl.cnf中的policy_match里面        的前三个都选了match,修改成
        stateOrProvinceName = optional
        organizationName = optional
就可以了


(未验证)


原贴地址:http://blog.csdn.net/mchange/article/details/41824149


2016-04-25 14:10 举报
已邀请:

回复帖子,请先登录注册

退出全屏模式 全屏模式 回复
评分
可选评分理由: