本文記錄linux環境和windows環境下ca證書的辦法過程
一:linux環境下頒發ca證書
首先需要安裝openssl。
首先需要利用openssl生成根證書,以後的伺服器端證書或者客戶端證書都用他來簽發,可以建立多個根證書。
在centos6.3上安裝openssl的命令如下:
yum install openssl-devel
注意在安裝的時候要安裝「openssl-devel」,而不是「openssl」。
安裝成功之後可以使用如下命令檢視openssl的版本:
[root@cddserver1~]# openssl version
openssl1.0.1e-fips 11 feb 2013
第一步1,生成根證書的私鑰
$ openssl genrsa -out /home/ca/ca.key
2 利用私鑰生成乙個根證書的申請,一般證書的申請格式都是csr。所以私鑰和csr一般需要儲存好
$openssl req -new -key /home/ca/ca.key -out /home/ca/ca.csr
3 自簽名的方式簽發我們之前的申請的證書,生成的證書為ca.crt。
openssl x509 -req -days 3650 -in /home/ca/ca.csr -signkey /home/ca/ca.key -out /home/ca/ca.crt
4為我們的證書建立第乙個序列號,一般都是用4個字元,這個不影響之後的證書頒發等操作
echo face(01) > /home/ca/serial。
5建立ca的證書庫,不影響後面的操作,預設配置檔案裡也有儲存的地方。
touch /home/ca/index.txt
6建立證書**列表儲存失效的證書
openssl ca -gencrl -out /home/ca/ca.crl -crldays 7
---生成和簽發伺服器身份驗證證書,注意證書是自簽名的,瀏覽器會提示不受信任
第二步
1,建立伺服器驗證證書的私鑰
openssl genrsa -out /home/ca/server.key
2,生成證書申請檔案,製作簽發證書的請求檔案時,需要輸入common name引數,此引數一定為當前主機的ip位址,否則將會顯示證書錯誤。
openssl req -new -key /home/ca/server.key -out /home/ca/server.csr
3,利用根證書簽發伺服器身份驗證證書
openssl ca -in /home/ca/server.csr -cert /home/ca/ca.crt -keyfile /home/ca/ca.key -out /home/ca/server.crt
第三步簽發客戶端身份認證證書
1,生成私鑰
openssl genrsa -des3 -out /home/ca/users/1/1.key 1024
2,生成證書請求檔案
openssl req -new -key /home/ca/users/1/1.key -out /home/ca/users/1/1.csr
3,簽發證書
openssl ca -in /home/ca/user/1/1.csr -cert /home/ca/ca.crt -keyfile /home/lengshan/ca.key -out /home/ca/user/1/1.crt
客戶端證書完成,注意如果在web伺服器上使用客戶端證書,需要在web伺服器上使用根證書對客戶端進行驗證,切記!
製作過程中遇到的異常以及解決方法::
1:unable to open '/etc/pki/ca/index.txt'
解決辦法:touch /etc/pki/ca/index.txt
二:windows環境下簽發ca證書
windows環境下使用jdk自帶的keytool頒發證書
1:在cmd視窗使用如下命令
keytool -genkey -alias wsria -keyalg rsa -keystore d:/keys/tomcat注:名字姓氏答案 填寫 伺服器的ip或者網域名稱
2:匯出證書
keytool -export -file d:/keys/tomcat.crt -alias wsria -keystore d:/keys/tomcat
自簽數字證書
1.數字證書認證機構 英語 certificate authority,縮寫為ca 也稱為電子商務認證中心 電子商務認證授權機構或證書授權中心,是負責發放和管理數字證書的權威機構,並作為電子商務交易中受信任的第三方,承擔公鑰體系中公鑰的合法性檢驗的責任。2.csr是cerificate signin...
CA建立及自簽名證書
1,生成公私鑰 2,建立根ca 生成證書索引資料庫檔案 touch etc pki ca index.txt 指定第乙個頒發證書的序列號 echo 01 etc pki ca serial 生成ca私鑰 umask 066 openssl genrsa out private cakey.pem 2...
HTTPS及CA證書詳解
http的歷史 https協議如何執行的 https原理 遺留問題以及可能的方案 ca證書 http,超文字傳輸協議,是基於請求響應的乙個無狀態的應用層協議,初衷主要是用來發布和接收web網頁內容。監聽埠號是80 ssl稱為安全套接層,有網景公司設計,主要用來解決http協議明文傳輸導致內容被 和篡...