證書檔案生成
也許很多人和本人一樣深有體會,使用openssl庫寫乙個加密通訊過程,**很容易就寫出來了,可是整個工作卻花了了好幾天。除將程式編譯成功外(沒有可以使用的證書檔案,編譯成功了,它並不能跑起來,並不表示它能正常使用,所以......),還需生成必要的證書和私鑰檔案使雙方能夠成功驗證對方。
找了n多的資料,很多是說的很模糊,看了n多的英文資料,還是沒有辦法(不知道是不是外國朋友都比較厲害,不用說明得太清?),無意間找到yawl(
)寫的文章,難得的漢字(呵呵)。裡面有生成證書部分,說到生成了certificate signing request (csr)檔案後,就有點不太清楚了。後面生成自簽字證書在很多地方都可以找到的,簽名這部分,yawl說mod_ssl有比較好的指令碼,但是筆者一時找不到,就自己用openssl的ca命令來完成了,也不是很麻煩。
1.首先要生成伺服器端的私鑰(key檔案):
openssl genrsa -des3 -out server.key 1024
執行時會提示輸入密碼,此密碼用於加密key檔案(引數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此檔案(通過openssl提供的命令或api)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key檔案口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成certificate signing request(csr),生成的csr檔案交給ca簽名後形成服務端自己的證書.螢幕上將有提示,依照其指示一步一步輸入要求的個人資訊即可.
3.對客戶端也作同樣的命令生成key及csr檔案:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf
4.csr檔案必須有ca的簽名才可形成證書.可將此檔案傳送到verisign等地方由它驗證,要交一大筆錢,何不自己做ca呢.
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf
5.用生成的ca的證書為剛才生成的server.csr,client.csr檔案簽名:
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
現在我們所需的全部檔案便生成了.
另:client使用的檔案有:ca.crt,client.crt,client.key
server使用的檔案有:ca.crt,server.crt,server.key
.crt檔案和.key可以合到乙個檔案裡面,本人把2個檔案合成了乙個.pem檔案(直接拷貝過去就行了)
用openssl自簽名證書
進入命令列 1.進入證書存放的路徑 rm rf ssl 假如ssl資料夾已經存在 mkdir ssl cd ssl 2.生成金鑰 openssl genrsa des3 out ssl.key 1024 輸入密碼 isec openssl rsa in ssl.key out ssl.key 輸入密...
openssl生成自簽名證書
開啟終端,按如下步驟製作證書 1 會生成server.key檔案 openssl genrsa des3 out server.key 2048 2 建立證書請求,會生成server.csr。common name 網域名稱 openssl req new key server.key out se...
openssl生成自簽名證書
方法一 生成私鑰 openssl genrsa out server.key 1024 用私鑰生成自簽名的cer證書格式檔案 openssl req new x509 days 3650 key server.key out server.crt subj c cn st mykey l mykey...