請求方的操作:此步驟是為了驗證ca的發證過程。
1.生成私鑰:
openssl genrsa 1024 > private.key 生成私鑰並儲存到private.key檔案中
或者openssl genrsa –out private.key 1024
1024:表示生成1024位的密碼
從私鑰中生成公鑰:
openssl rsa -in private.key -pubout > public.key 生成公鑰並儲存到public.key檔案中
證書請求:
openssl req -new -key private.key -out my.csr
(請求方的詳細資訊)
country name (2 letter code) [gb]: #所在國家
state or province name (full name) [berkshire]: #州或省名
locality name (eg, city) [newbury]: #所在城市的名字
organization name (eg, company) [my company ltd]: #組織或公司的名字
organizational unit name (eg, section) : #公司所在部門
common name (eg, your name or your server's hostname) : #伺服器名字或個人名字
email address : #email位址
please enter the following 'extra' attributes
to be sent with your certificate request
a challenge password : #加密證書請求的密碼
an optional company name : #
2. 上面的條件填好以後就生成了證書頒發請求檔案:my.csr
然後把my.csr發給ca並放到/dir_name下
那麼在ca的/dir_name目錄下就會收到my.csr
ca的配置
3. 配置做成ca
cd /etc/pki/tls
vim openssl.cnf
找到[ ca_default ]
dir = /etc/pki/ca # where everything is kept
certs = $dir/certs # where the issued certs are kept
crl_dir = $dir/crl # where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts # default place for new certs.
儲存退出
接著cd ../ca目錄下:
mkdir certs crl newcerts
touch index.txt serial
echo 00 > serial
4. 建立ca的證書:ca要想給別人發證首先自己得有證
cd private
openssl genrsa 1024 > cakey.pem
生成自簽的證書
cd ..
openssl req –new –x509 –key private/cakey.pem –out cacert.pem
(ca的詳細資訊)
country name (2 letter code) [gb]: #所在國家
state or province name (full name) [berkshire]: #州或省名
locality name (eg, city) [newbury]: #所在城市的名字
organization name (eg, company) [my company ltd]: #組織或公司的名字
organizational unit name (eg, section) : #公司所在部門
common name (eg, your name or your server's hostname) : #伺服器名字或個人名字
email address : #email位址
please enter the following 'extra' attributes
to be sent with your certificate request
a challenge password : #加密證書請求的密碼
an optional company name : #
5. cd /dir_name
給請求者發證:
openssl ca –in my.csr –out my.crt
linux ssl 雙向認證
一,首先切換到apache目錄下,建立乙個ca資料夾 sudo mkdir ca sudo chmod 777 ca 二,然後進去ca資料夾 cp ca 三,建立其它檔案 mkdir democa mkdir democa newcerts mkdir democa private touch de...
雙向認證 什麼是單向認證和雙向認證?
雙向認證 ssl 協議要求伺服器和使用者雙方都有證書。單向認證 ssl 協議不需要客戶擁有ca證書,具體的過程相對於上面的步驟,只需將伺服器端驗證客戶證書的過程去掉,以及在協商對稱密碼方案,對稱通話金鑰時,伺服器傳送給客戶的是沒有加過密的 這並不影響 ssl 過程的安全性 密碼方案。這樣,雙方具體的...
ssl雙向認證
ssl雙向認證 ca.key 根證書的私鑰 ca.crt 根證書的簽名證書 server.key,server.crt client.key,client.crt 1 openssl ca.key,ca.crt 2 openssl server.key server.csrserver.crt 3 ...