openssl 生成证件

openssl 生成证书

一 安装 openssl

?

?

wget http://www.openssl.org/source/openssl-1.0.0a.tar.gz

tar zxvf openssl-1.0.0a.tar.gz
cd openssl-1.0.0a
./config --prefix=/usr/local/openssl
make && make install

?

?二 创建主证书

?

先创建一个 ssl的目录:

?

mkdir ssl

?

?copy CA.sh文件:

?

cp /usr/local/openssl/ssl/misc/CA.sh /etc/aaron/ssl

?

?创建证书

?

./CA.sh -newca

?

中间填写的一些资料:

countryName               = cn
stateOrProvinceName       = shandong
organizationName          = teamsourcing
organizationalUnitName    = develop
commonName                = www.mydomain.com
emailAddress              = mydomain@gmail.com?

??生成成功的话，会在ssl目录下面产生一个文件夹demoCA,demoCA/private/cakey.pem是CA证书的私钥文件，demoCA/cacert.pem是CA证书。

可以规整一下:

?

cp demoCA/private/cakey.pem ca.key

cp demoCA/cacert.pem ca.crt

?

?

?

三?生成服务器证书

生成服务器私钥:

?

openssl genrsa -des3 -out server.key 1024

?

?生成服务器证书请求:

?

openssl req -new -key server.key -out server.csr

?

生成服务器证书并签名:

?

mv server.csr newreq.pem

./CA.sh -sign

mv newcert.pem server.crt

?

?可以使用以下命令查看服务器证书的内容:

?

openssl x509 -noout -text -in server.crt

?

?可以用以下命令验证服务器证书:

?

openssl verify -CAfile ca.crt server.crt 

?

解密 server key:

?

openssl rsa -in server.key -out my-server.key 

四 客户证书

?

?生成客户私钥:

?

openssl genrsa -des3 -out client.key 1024

?

生成客户证书签名请求:

?

openssl req -new -key client.key -out client.csr

?

生成客户证书（使用CA证书签名）

?

openssl ca -in client.csr -out client.crt

?

证书转换成浏览器认识的格式

?

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

?五?证书列表

?

?

如果使用双向认证，就会有三个私钥和三个证书。分别是

ca.key, ca.crt, server.key, server.crt, client.key, client.crt，以及给浏览器的client.pfx。

?

如果使用有CA证书的单向认证，证书和私钥就是ca.key, ca.crt, server.key, server.crt。

?

如果使用无CA证书的单向认证，证书和私钥就是server.key, server.crt。

?

?

?

?

当系统自带一个openssl时,再安装一个oppenssl,当我们生成证书的时候,会出现一些问题:

?

Using configuration from /etc/pki/tls/openssl.cnf
Enter pass phrase for /usr/local/ssl/test/my_CA/private/./cakey.pem:
I am unable to access the ../../CA/newcerts directory
../../CA/newcerts: No such file or directory

?系统本身带了一个openssl，此ca脚本直接调用该/usr/bin/openssl ，而该openssl所用的配置文件是 /etc/pki/tls/openssl.cnf

第一步:

现在更改ca.sh让其使用自己的/usr/local/ssl/bin/openssl ，从而调用自己cnf文件 /usr/local/ssl/openssl.cnf

?

# default openssl.cnf file has setup as per the following
# demoCA ... where everything is stored
if [ -z "$OPENSSL" ]; then OPENSSL=openssl; fi
DAYS="-days 365"        # 1 year
CADAYS="-days 1095"     # 3 years
REQ="/usr/local/openssl/bin/openssl req $SSLEAY_CONFIG"
CA="/usr/local/openssl/bin/openssl ca $SSLEAY_CONFIG"
VERIFY="/usr/local/openssl/bin/openssl verify"
X509="/usr/local/openssl/bin/openssl x509"

?就是将原来的$OPENSSL的换成了/usr/local/openssl/bin/openssl

第二步

同时修改?/etc/pki/tls/openssl.cnf

?

[ CA_default ]
dir             = ../../CA              # Where everything is kept

?为

?

[ CA_default ]
dir             = ./demoCA           # Where everything is kept

?当然,也可以直接修改 第二步,您可以自己再验证下