MacOS openssl下生成建立CA并生成服务器和客户端证书方法
2014-12-05 16:39
555 查看
双向认证:
客户端向服务器发送消息,首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端,
服务器接到消息后用首先用客户端证书把消息解密,然后用服务器私钥把消息加密,把服务器证书和消息一起发送到客户端,
客户端用发来的服务器证书对消息进行解密,然后用服务器的证书对消息加密,然后在用客户端的证书对消息在进行一次加密,连同加密消息和客户端证书一起发送到服务器端,
到服务器端首先用客户端传来的证书对消息进行解密,确保消息是这个客户发来的,然后用服务器端的私钥对消息在进行解密这个便得到了明文数据。
单向认证:
客户端向服务器发送消息,
服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到客户端,
客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,
服务器用私钥对数据进行解密,
这就完成了客户端和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。
在OpenSSL的安装目录下的misc目录下,运行脚本
运行完后会生成一个demoCA的目录,里面存放了CA的证书和私钥。
生成server证书
1.创建私钥 :
2.创建证书请求 :
% openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:localhost #此处一定要写服务器所在ip
Email Address []:server@server.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3.自签署证书 :
% openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
% openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
密码:123456
生成client证书
1.创建私钥 :
% openssl genrsa -out client/client-key.pem 1024
2.创建证书请求 :
% openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:dong
Email Address []:dong@dong.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3.自签署证书 :
% openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
% openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
密码:123456
验证可以:openssl verify -CAfile /etc/ins/ca.crt /etc/ins/client.crt
生成 apache ssl 证书
% cp server/server-req.csr newreq.pem
/usr/local/ssl/misc/CA.sh -sign
创建 apache 需要 ssl 证书内容:
% mkdir ssl
% cp newcert.pem ssl/server.crt
% cp demoCA/cacert.pem ssl/cacert.pem
同时复制一份证书:
% cp demoCA/cacert.pem ssl/ca.crt
apache配置
% vi /usr/local/apache/conf/extra/ssl.conf
# 指定服务器证书位置
SSLCertificateFile /usr/local/apache/conf/ssl/server.crt
# 指定服务器证书key位置
SSLCertificateKeyFile /usr/local/apache/conf/ssl/server.key
# 证书目录
SSLCACertificatePath /usr/local/apache/conf/ssl
# 根证书位置
SSLCACertificateFile /usr/local/apache/conf/ssl/cacert.pem
% vi /usr/local/apache/conf/extra/httpd_vhosts.conf
listen 443 https
NameVirtualHost *:443
<VirtualHost _default_:443>
DocumentRoot "/home/zhangy/www/metbee/trunk/src/web"
ServerName *:443
ErrorLog "/home/zhangy/apache/www.metbee.com-error.log"
CustomLog "/home/zhangy/apache/www.metbee.com-access.log" common
Include conf/extra/ssl.conf
</VirtualHost>
来源
http://zhumeng8337797.blog.163.com/blog/static/10076891420133130138156/
...
客户端向服务器发送消息,首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端,
服务器接到消息后用首先用客户端证书把消息解密,然后用服务器私钥把消息加密,把服务器证书和消息一起发送到客户端,
客户端用发来的服务器证书对消息进行解密,然后用服务器的证书对消息加密,然后在用客户端的证书对消息在进行一次加密,连同加密消息和客户端证书一起发送到服务器端,
到服务器端首先用客户端传来的证书对消息进行解密,确保消息是这个客户发来的,然后用服务器端的私钥对消息在进行解密这个便得到了明文数据。
单向认证:
客户端向服务器发送消息,
服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到客户端,
客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,
服务器用私钥对数据进行解密,
这就完成了客户端和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。
在OpenSSL的安装目录下的misc目录下,运行脚本
% /usr/local/ssl/misc/CA.sh -newca
运行完后会生成一个demoCA的目录,里面存放了CA的证书和私钥。
生成server证书
1.创建私钥 :
% openssl genrsa -out server/server-key.pem 1024
2.创建证书请求 :
% openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:localhost #此处一定要写服务器所在ip
Email Address []:server@server.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3.自签署证书 :
% openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
% openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
密码:123456
生成client证书
1.创建私钥 :
% openssl genrsa -out client/client-key.pem 1024
2.创建证书请求 :
% openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:bj
Locality Name (eg, city) []:bj
Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb
Organizational Unit Name (eg, section) []:tb
Common Name (eg, YOUR name) []:dong
Email Address []:dong@dong.com
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
3.自签署证书 :
% openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
% openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
密码:123456
验证可以:openssl verify -CAfile /etc/ins/ca.crt /etc/ins/client.crt
生成 apache ssl 证书
% cp server/server-req.csr newreq.pem
/usr/local/ssl/misc/CA.sh -sign
创建 apache 需要 ssl 证书内容:
% mkdir ssl
% cp newcert.pem ssl/server.crt
% cp demoCA/cacert.pem ssl/cacert.pem
同时复制一份证书:
% cp demoCA/cacert.pem ssl/ca.crt
apache配置
% vi /usr/local/apache/conf/extra/ssl.conf
# 指定服务器证书位置
SSLCertificateFile /usr/local/apache/conf/ssl/server.crt
# 指定服务器证书key位置
SSLCertificateKeyFile /usr/local/apache/conf/ssl/server.key
# 证书目录
SSLCACertificatePath /usr/local/apache/conf/ssl
# 根证书位置
SSLCACertificateFile /usr/local/apache/conf/ssl/cacert.pem
% vi /usr/local/apache/conf/extra/httpd_vhosts.conf
listen 443 https
NameVirtualHost *:443
<VirtualHost _default_:443>
DocumentRoot "/home/zhangy/www/metbee/trunk/src/web"
ServerName *:443
ErrorLog "/home/zhangy/apache/www.metbee.com-error.log"
CustomLog "/home/zhangy/apache/www.metbee.com-access.log" common
Include conf/extra/ssl.conf
</VirtualHost>
来源
http://zhumeng8337797.blog.163.com/blog/static/10076891420133130138156/
...
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- openssl下生成建立CA并生成服务器和客户端证书方法
- DAY19_openssl命令行生成客户端证书+建立客户端
- OPENSSL、KEYTOOL生成服务器与客户端证二级证书签名
- 使用Openssl生成CA及签发证书方法
- 利用keytool/openSSL来生成服务器和客户端证书
- 使用Openssl生成CA及签发证书方法
- Openssl生成CA及签发证书方法
- openssl生成服务器客户端秘钥已经颁发证书等配置命令
- 用Openssl建立私有CA并颁发证书
- openssl 创建ca&生成证书
- CAS服务器和客户端配置 证书的生成,导出,导入到jdk
- 基于Openssl的 CA建立 证书签发
- 基于 OpenSSL 的 CA 建立及证书签发
- 使用OpenSSL建立根CA及自签名证书制作过程 [转载]
- 用Openssl建立私有CA并颁发证书
- 基于 OpenSSL 的 CA 建立及证书签发
- Openssl建立根CA及证书的自签和颁发
- Exchange2010配置实验(四)搭建CA服务器为Exchenge客户端配置安全证书
- Lync Server 2010 客户端访问提示验证服务器中的证书时遇到问题解决方法
- 网络 客户端 多种方法 建立与服务端的连接 接口:服务器名,IP socket connect