linux下运用Openssl签发证书详解。
2016-11-03 19:00
447 查看
首先需要安装openssl。
openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。
首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书。
第一步
1,生成根证书的私钥
$ openssl genrsa -out /home/yangxueliang/ca.key
[b]2 利用私钥生成一个根证书的申请,一般证书的申请格式都是csr。所以私钥和csr一般需要保存好[/b]
[b]$ [b]openssl req -new -key /home/lengshan/ca.key -out /home/lengshan/ca.csr
[/b][/b]
[b][b]3 自签名的方式签发我们之前的申请的证书,生成的证书为ca.crt。[/b][/b]
openssl x509 -req -days 3650 -in /home/lengshan/ca.csr -signkey /home/lengshan/ca.key -out /home/lengshan/ca.crt
4 为我们的证书建立第一个序列号,一般都是用4个字符,这个不影响之后的证书颁发等操作
[b]echo FACE(01) > /home/yangxueliang/serial。[/b]
5 建立ca的证书库,不影响后面的操作,默认配置文件里也有存储的地方。
touch /home/yangxueliang/index.txt
6 建立证书回收列表保存失效的证书
openssl ca -gencrl -out /home/lengshan/ca.crl -crldays 7
---已上就完成了根证书的相关操作,下一步可以颁发证书了。
---生成和签发服务器身份验证证书,注意证书是自签名的,浏览器会提示不受信任
第二步
1,建立服务器验证证书的私钥
[b]openssl genrsa -out /home/lengshan/server.key
[/b]
2,[b]生成证书申请文件
[/b]
openssl req -new -key /home/lengshan/server.key -out /home/lengshan/server.csr
3,利用根证书签发服务器身份验证证书
openssl ca -in /home/lengshan/server.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/ca.key -out /home/lengshan/server.crt
4,至此,服务器端身份认证证书已经完成,可以利用证书和私钥生成pfx格式的证书给微软使用,命令如下:
[b][b][b]openssl pkcs12 -export -clcerts -in /home/lengshan/server[b].crt -inkey /home/lengshan/server.key -out
[/b][/b][/b][/b]
[b][b]第三步 [b]签发客户端身份认证证书
[/b][/b][/b]
[b][b]1,[b]生成私钥
[/b][/b][/b]
[b][b][b]openssl genrsa -des3 -out /home/lengshan/users/1/1.key 1024
[/b][/b][/b]
[b][b]2,[b]生成证书请求文件[/b][/b][/b]
[b][b][b][b]openssl req -new -key /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.csr[/b]
[/b][/b][/b]
[b][b]3,[b]签发证书
[/b][/b][/b]
[b][b][b][b]openssl ca -in /home/lengshan/users/1/1.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/users/1/1.crt[/b]
[/b][/b][/b]
[b][b]4,[b]生成pfx格式
[/b][/b][/b]
[b][b][b][b]openssl pkcs12 -export -clcerts -in /home/lengshan/users/1/1.crt -inkey /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.p12[/b]
[/b][/b][/b]
[b][b][b]客户端证书完成,注意如果在web服务器上使用客户端证书,需要在web服务器上使用根证书对客户端进行验证,切记!
[/b][/b][/b]
openssl的配置文件是openssl.cnf,我们一般就是用默认配置就可以。如果证书有特殊要求的话,可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。
首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书。
第一步
1,生成根证书的私钥
$ openssl genrsa -out /home/yangxueliang/ca.key
[b]2 利用私钥生成一个根证书的申请,一般证书的申请格式都是csr。所以私钥和csr一般需要保存好[/b]
[b]$ [b]openssl req -new -key /home/lengshan/ca.key -out /home/lengshan/ca.csr
[/b][/b]
[b][b]3 自签名的方式签发我们之前的申请的证书,生成的证书为ca.crt。[/b][/b]
openssl x509 -req -days 3650 -in /home/lengshan/ca.csr -signkey /home/lengshan/ca.key -out /home/lengshan/ca.crt
4 为我们的证书建立第一个序列号,一般都是用4个字符,这个不影响之后的证书颁发等操作
[b]echo FACE(01) > /home/yangxueliang/serial。[/b]
5 建立ca的证书库,不影响后面的操作,默认配置文件里也有存储的地方。
touch /home/yangxueliang/index.txt
6 建立证书回收列表保存失效的证书
openssl ca -gencrl -out /home/lengshan/ca.crl -crldays 7
---已上就完成了根证书的相关操作,下一步可以颁发证书了。
---生成和签发服务器身份验证证书,注意证书是自签名的,浏览器会提示不受信任
第二步
1,建立服务器验证证书的私钥
[b]openssl genrsa -out /home/lengshan/server.key
[/b]
2,[b]生成证书申请文件
[/b]
openssl req -new -key /home/lengshan/server.key -out /home/lengshan/server.csr
3,利用根证书签发服务器身份验证证书
openssl ca -in /home/lengshan/server.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/ca.key -out /home/lengshan/server.crt
4,至此,服务器端身份认证证书已经完成,可以利用证书和私钥生成pfx格式的证书给微软使用,命令如下:
[b][b][b]openssl pkcs12 -export -clcerts -in /home/lengshan/server[b].crt -inkey /home/lengshan/server.key -out
[/b][/b][/b][/b]
[b][b]第三步 [b]签发客户端身份认证证书
[/b][/b][/b]
[b][b]1,[b]生成私钥
[/b][/b][/b]
[b][b][b]openssl genrsa -des3 -out /home/lengshan/users/1/1.key 1024
[/b][/b][/b]
[b][b]2,[b]生成证书请求文件[/b][/b][/b]
[b][b][b][b]openssl req -new -key /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.csr[/b]
[/b][/b][/b]
[b][b]3,[b]签发证书
[/b][/b][/b]
[b][b][b][b]openssl ca -in /home/lengshan/users/1/1.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/users/1/1.crt[/b]
[/b][/b][/b]
[b][b]4,[b]生成pfx格式
[/b][/b][/b]
[b][b][b][b]openssl pkcs12 -export -clcerts -in /home/lengshan/users/1/1.crt -inkey /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.p12[/b]
[/b][/b][/b]
[b][b][b]客户端证书完成,注意如果在web服务器上使用客户端证书,需要在web服务器上使用根证书对客户端进行验证,切记!
[/b][/b][/b]
相关文章推荐
- Linux用Openssl为Apache签发证书
- LINUX-OPENSSL证书签发
- CentOS6.5环境下OpenSSL实战:自己搭建CA中心,申请,签发,吊销,导入证书,SSL 握手详解
- openssl生成证书命令详解
- Linux下使用Openssl颁发Apache证书
- Linux的加密认证功能以及openssl详解
- 使用openssl签发证书
- Linux的加密认证功能以及openssl详解
- OpenSSL生成证书详解 如何使用OpenSSL生成自签证书 转载
- 基于 OpenSSL 的 CA 建立及证书签发
- OpenSSL 创建证书(linux)
- 使用 openssl 生成证书(含openssl详解)
- Linux下使用openssl生成证书
- OpenSSL生成证书详解 如何使用OpenSSL生成自签证书 转载
- 数据加密解密及Linux OpenSSL详解
- CentOS6.5下openssl加密解密及CA自签颁发证书详解
- OpenSSL 自建CA及签发证书
- Linux下OpenSSL 安装图文详解【实测可行】
- OpenSSL:实现创建私有CA、签署证书请求详解
- OpenSSL生成证书详解 如何使用OpenSSL生成自签证书 转载