SSL 用OpenSSL命令列生成證書檔案

ssl-用openssl命令列生成證書檔案---來自csdn，稍微增補了一下

也許很多人和本人一樣深有體會，使用openssl庫寫乙個加密通訊過程，**很容易就寫出來了，可是整個工作卻花了了好幾天。除將程式編譯成功外（沒有可以使用的證書檔案，編譯成功了，它並不能跑起來，並不表示它能正常使用，所以......）,還需生成必要的證書和私鑰檔案使雙方能夠成功驗證對方。

找了n多的資料，很多是說的很模糊，看了n多的英文資料，還是沒有辦法（不知道是不是外國朋友都比較厲害，不用說明得太清？），無意間找到yawl ([email protected])寫的文章，難得的漢字（呵呵）。裡面有生成證書部分，說到生成了 certificate signing request (csr)檔案後，就有點不太清楚了。後面生成自簽字證書在很多地方都可以找到的，簽名這部分，yawl說mod_ssl有比較好的指令碼，但是筆者一時找不到，就自己用openssl的ca命令來完成了，也不是很麻煩。

1.首先要生成伺服器端的私鑰(key檔案):

openssl genrsa -des3 -out server.key 1024

執行時會提示輸入密碼,此密碼用於加密key檔案(引數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此檔案(通過openssl提供的命令或api)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!

去除key檔案口令的命令:

openssl rsa -in server.key -out server.key

2.openssl req -new -key server.key -out server.csr -config openssl.cnf

生成certificate signing request（csr）,生成的csr檔案交給ca簽名後形成服務端自己的證書.螢幕上將有提示,依照其指示一步一步輸入要求的個人資訊即可.

3.對客戶端也作同樣的命令生成key及csr檔案:

openssl genrsa -des3 -out client.key 1024

openssl req -new -key client.key -out client.csr -config openssl.cnf

4.csr檔案必須有ca的簽名才可形成證書.可將此檔案傳送到verisign等地方由它驗證,要交一大筆錢,何不自己做ca呢.

1)在bin目錄下新建目錄 democa、democa/certs、democa/certs 、 democa/newcerts

2) 在democa建立乙個空檔案 index.txt

3) 在democa建立乙個文字檔案 serial, 沒有副檔名，內容是乙個合法的16進製制數字，例如 0000

4) openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

5.用生成的ca的證書為剛才生成的server.csr,client.csr檔案簽名:

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

現在我們所需的全部檔案便生成了.

另：

client使用的檔案有：ca.crt,client.crt,client.key

server使用的檔案有：ca.crt,server.crt,server.key

.crt檔案和.key可以合到乙個檔案裡面，本人把2個檔案合成了乙個.pem檔案（直接拷貝過去就行了）（openssl新的版本已經放到democa/newcerts目錄下了）

星之魄發表於 2023年06月11日 17:52:00

原文：

SSL 用OpenSSL命令列生成證書檔案

如何用openssl命令列生成證書

openssl 命令列實現數字簽名

用openssl進行SSL程式設計

SSL 用OpenSSL命令列生成證書檔案

如何用openssl命令列生成證書

openssl 命令列實現數字簽名

用openssl進行SSL程式設計

相關推薦