Linux下使用openssl生成證書

利用openssl生成庫和命令程式,在生成的命令程式中包括對加/解密演算法的測試,openssl程式,ca程式.利用openssl,ca可生成用於c/s模式的證書檔案以及ca檔案.

證書檔案的生成步驟:

一、伺服器端

1.生成伺服器端的私鑰(key檔案);

openssl genrsa -des3 -out server.key 1024

執行時會提示輸入密碼,此密碼用於加密key檔案(引數des3是加密演算法,也可以選用其他安全的演算法),以後每當需讀取此檔案(通過openssl提供的命令或api)都需輸入口令.如果不要口令,則可用以下命令去除口令:

openssl rsa -in server.key -out server.key

2.生成伺服器端證書簽名請求檔案(csr檔案);

openssl req -new -key server.key -out server.csr

生成certificate signing request（csr）,生成的csr檔案交給ca簽名後形成服務端自己的證書.螢幕上將有提示,依照其提示一步一步輸入要求的個人資訊即可(如:country,province,city,company等).

二、客戶端

1.對客戶端也作同樣的命令生成key及csr檔案;

三、生成ca證書檔案

server.csr與client.csr檔案必須有ca的簽名才可形成證書.

1.首先生成ca的key檔案:

openssl genrsa -des3 -out ca.key 1024

2.生成ca自簽名證書:

openssl req -new -x509 -key ca.key -out ca.crt

可以加證書過期時間選項 "-days 365".

四、利用ca證書進行簽名

用生成的ca證書為server.csr,client.csr檔案簽名,利用openssl中附帶的ca.pl檔案

1. 在提示輸入已有的證書檔案時,輸入上面已生成的ca.crt證書檔案;

ca.pl –newca

2.生成服務端證書檔案

3.生成客戶端證書檔案

五、可能出現的錯誤

錯誤1：

error loading the config file 'openssl.cnf'

解決方法

find . -name "openssl.c*"cp /usr/local/ssl/openssl.cnf ./

錯誤2：

解決方法

touch democa/serial

echo "00" > democa/serial

參考：http://

blog.chinaunix.net/uid-26760055-id-3128132.html