利用OpenSSL生成證書檔案

利用openssl生成庫和命令程式,在生成的命令程式中包括對加/解密演算法的測試,openssl程式,ca程式.利用openssl,ca可生成用於c/s模式的證書檔案以及ca檔案.下面以c/s模式說明證書檔案的生成步驟:

證書檔案生成:

一.伺服器端

1.生成伺服器端的私鑰(key檔案);

openssl genrsa -des3 -out server.key 1024

執行時會提示輸入密碼,此密碼用於加密key檔案(引數des3是加密演算法,也可以選用其他安全的演算法),以後每當需讀取此文件(通過openssl提供的命令或api)都需輸入口令.如果不要口令,則可用以下命令去除口令:

openssl rsa -in server.key -out server.key

2.生成伺服器端證書簽名請求檔案(csr檔案);

openssl req -new -key server.key -out server.csr

生成certificate signing request（csr）,生成的csr檔案交給ca簽名後形成服務端自己的證書.螢幕上將有提示,依照其提示一步一步輸入要求的個人資訊即可(如:country,province,city,company等).

二.客戶端

1.對客戶端也作同樣的命令生成key及csr檔案;

openssl genrsa -des3 -out client.key 1024

openssl req -new -key client.key -out client.csr

三.生成ca證書檔案

server.csr與client.csr檔案必須有ca的簽名才可形成證書.

1.首先生成ca的key檔案:

openssl genrsa -des3 -out ca.key 1024

2.生成ca自簽名證書:

openssl req -new -x509 -key ca.key -out ca.crt

可以加證書過期時間選項 "-days 365".

四.利用ca證書進行簽名

1.ca.pl -newca, 在提示輸入已有的證書檔案時,輸入上面已生成的ca.crt證書檔案;

2.生成服務端證書檔案

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

3.生成客戶端證書檔案

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

操作完畢,server.key,server.crt;client.key,client.crt;ca.key,ca.crt將在專案中被用到.