openssl下生成建立CA并生成服务器和客户端证书方法

最新推荐文章于 2024-04-19 23:39:18 发布
最新推荐文章于 2024-04-19 23:39:18 发布
阅读量4.9k 收藏 2
点赞数
分类专栏: openssl 证书 文章标签: 服务器 加密 解密 internet 浏览器 server
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liangyuannao/article/details/7708707
版权



双向认证:

 

  1. 客户端向服务器发送消息,首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端,
  2. 服务器接到消息后用首先用客户端证书把消息解密,然后用服务器私钥把消息加密,把服务器证书和消息一起发送到客户端,
  3. 客户端用发来的服务器证书对消息进行解密,然后用服务器的证书对消息加密,然后在用客户端的证书对消息在进行一次加密,连同加密消息和客户端证书一起发送到服务器端,
  4. 到服务器端首先用客户端传来的证书对消息进行解密,确保消息是这个客户发来的,然后用服务器端的私钥对消息在进行解密这个便得到了明文数据。

 

单向认证:

 

  1. 客户端向服务器发送消息,
  2. 服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到客户端,
  3. 客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,
  4. 服务器用私钥对数据进行解密,

这就完成了客户端和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。


  在OpenSSL的安装目录下的misc目录下,运行脚本sudo ./CA.sh -newCA。运行完后会生成一个demoCA的目录,里面存放了CA的证书和私钥。在serial文件中写入第一个序列号“01”



生成server证书

1.创建私钥 :

openssl genrsa -out server/server-key.pem 1024 

2.创建证书请求 :

openssl req -new -out server/server-req.csr -key server/server-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:localhost   #此处一定要写服务器所在ip

Email Address []:server@server.com

 

 

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自签署证书 :

openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 

4.将证书导出成浏览器支持的.p12格式 :

openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12 

密码:123456



生成client证书 

1.创建私钥 :

openssl genrsa -out client/client-key.pem 1024 

2.创建证书请求 :

openssl req -new -out client/client-req.csr -key client/client-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:dong

Email Address []:dong@dong.com

 

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

3.自签署证书 :

openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650 

4.将证书导出成浏览器支持的.p12格式 :

openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12 

密码:123456


验证可以:openssl verify -CAfile /etc/ins/ca.crt /etc/ins/client.crt

     


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------


出现错误

openssl TXT_DB error number 2 failed to update database


产生的原因是:

 

This thing happens when certificates share common data. You cannot have two 
certificates that look otherwise the same.

 

方法一:

 

修改demoCA下 index.txt.attr

 

  1. unique_subject = yes  

 改为


  
  1. unique_subject = no  

 方法二:

 

删除demoCA下的index.txt,并再touch下

 
  1. rm index.txt  
  2.   
  3. touch index.txt  

 方法三:

将 common name设置成不同的







------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
简述:

genrsa -des3 -out server.key 1024

openssl req -new -key server.key -out server.csr
openssl ca -in client.csr -out server.crt
openssl verify -CAfile ca.crt  server.crt

参考 http://11lingxian.iteye.com/blog/1491607
http://www.360doc.com/content/11/0419/12/2150778_110723774.shtml

wdt3385
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用 OpenSSL 创建生成CA 证书服务器客户端证书及密钥
01-16
使用OpenSSL生成密钥与证书,并进行双向验证
使用openssl生成CAserver、client私钥和证书证书包括公钥)
weixin_39991993的博客
04-05 7792
参考:SSL证书制作并使用NodeJs进行HTTPS认证配置 - 苍青浪 - 博客园 1. 生成CA证书及私钥: 1)生成一个私钥为ca-key.pem openssl genrsa -out ca-key.pem -des 1024 ca私钥使用:tfo0zQ1JiP3PeZQVAzMy 【后面也会用到】 2)根据秘钥ca-key.pem生成一个证书签名请求文件ca-csr.pem,根据这个文件可以签出秘钥对应的证书。在这里会要求填入相关信息,可以用“.”表示为空,但Common Name必须要填
利用OpenSSL自签证书CA颁发证书
11-14 563
其中,-CA参数指定CA证书,-CAkey参数指定CA私钥,-CAcreateserial参数表示生成一个新的序列号文件,-out参数指定输出的证书文件名,-days参数表示证书的有效期。OpenSSL是一个开源的加密工具包,可以用于生成自签证书和颁发证书。在生成证书请求时,需要填写证书的信息,包括国家、地区、组织、单位、通用名称等。其中通用名称应该是您的域名或IP地址。该命令将使用私钥和证书请求生成自签证书。将自签证书的CSR文件发送给CA,由CA颁发证书。在生成证书请求时,也需要填写证书的信息。
浅谈CA证书以及Openssl管理证书
黑白一戒
11-07 1118
浅谈CA证书以及Openssl管理证书CA证书安全协议(SSL/TLS)OpenSSLOpenSSL实现创建CA并申请、管理证书 CA证书 一、PKI(Public Key Infrastructure) 公钥基础设施 定义:支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施 主要组成部分: 签证机构:CA (Certificate Authority) 注册机构:RA ...
10.openssl证书CA功能概述
艾小小雨的博客
02-02 1396
10.1 证书CA功能概述10.1.1 证书存在价值数字证书正是为了建立实体跟密钥对之间的联系而存在,证书验证中心CA充当了确认特定实体跟密钥对之间关系的确认人,并且通过用自己的私钥对这些确认信息和公钥一起签名来保证其可信性和不可改变性。10.1.2 证书生命周期a.证书申请:所谓证书生命周期是指从证书申请到证书被吊销的整个过程,这中间涉及证书申请、颁发、使用管理方面的问题。b.证书颁...
OpenSSL之十三:证书CA指令
wzfgd的博客
03-09 2360
证书生成CA 指令的应用。
OpenSSL创建生成CA证书服务器客户端证书及密钥
热门推荐
^_^
11-06 1万+
使用OpenSSL创建生成CA证书服务器客户端证书及密钥 目录使用OpenSSL创建生成CA证书服务器客户端证书及密钥(一)生成CA证书(二)生成服务器证书(三)生成客户端证书 说明: 对于SSL单向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证。 对于SSL双向认证: 服务器需要CA证书server证书server私钥,客户端需要CA证书,client证书、client私钥。 (一)生成CA证书 1、创建CA证书私钥 openssl gen
OpenSSL生成证书CA及签发子证书
gbz2000的博客
03-21 1088
系统:CentOS7 32位 目标:使用OpenSSL生成一个CA证书,并用这个根证书颁发两个子证书server和client。 先确保系统中安装了OpenSSL,若没安装,可以通过以下命令安装: ? 1 sudoyuminstallopenssl 修改OpenSSL的配置 安装好之后,定位一下OpenSSL的配置文件openssl.cnf: ? 1 locateopenssl.cnf 如图,我这...
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 5940
openssl ca
Linux openssl 搭建CA、签名证书
sayyy的专栏
09-04 1084
Linux openssl 搭建CA、签名证书
openSSL生成证书以及在tomcat下的配置
05-21
这是我自己关于学习openSSL的一些心德,很初级,请大家不要见笑
linux系统openssl 实现ssl自签证书
12-02
通过shell脚本生成CA证书,并且通过CA证书自签服务器客户端证书; 自签后可以实现局域网内https证书信任。该证书可以实现V3(SAN)证书扩展名,解决谷歌浏览(Google Chrome)提示没有主题备用名称的问题。
基于opensslCA证书服务器 你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书
01-06
基于opensslCA证书服务器。你可以用它搭建自己的专属CA服务器,以方便为用户生成私钥、证书请求、颁发证书、吊销证书证书续期、证书吊销列表等。它可以生成多种类型的证书,包括且不限于web服务器、代码、计算机...
SSL_read 返回值为0困惑
wdt3385的专栏
11-22 1万+
SSL_read的原型是: int SSL_read(SSL *ssl, void *buf, int num); open ssl的文档这样说: SSL_read是工作在SSL/TLS的记录之上的。数据按照记录来接收的(最大记住是16KB SSLv3/TLS)。只有在一个记录被完整接收之后才会被处理(解密和验证)。因此SSL_read只会在记录数据都读取成功了才能返回数据,否则SSL_re
openssl有关SSL客户端认证的问题
wdt3385的专栏
07-03 2427
服务器要想验证客户端证书必须在服务器端加入以下函数:                          #define CA_CERT ca.pem   /*验证与否*/     SSL_CTX_load_verify_locations(ctx,CA_CERT,NULL);     SSL_CTX_set_verify(ctx,SSL_VERIFY_PEER,NULL);
账号安全基本措施2
最新发布
2301_78327423的博客
04-19 253
例如:配置zhangsan用户只能执行挂载命令,/usr/bin/mount /dev/sr0 /mnt/命令。在110行我们看到在这个组中,NOPASSWD:ALL,是要加入到wheel组中的,使用sudo执行任何命令不需要密码。第三列是开放的命令,比如:/usr/bin/mount /dev/sr0 /mnt/只能执行这一条命令。在/etc/sudoers.d/下写一个配置文件:vim /etc/sudoers.d/test。测试别名的使用,只有在/usr/bin/下的命令才可以无密码使用。
【c基础】文件操作
hutaotaotao的博客
04-19 475
文件io常用操作
如何使用openssl获取服务器客户端证书和私钥
06-10
使用 OpenSSL 工具可以生成服务器客户端证书和私钥。具体步骤如下: 1. 生成服务器私钥。在终端中输入以下命令: ``` openssl genrsa -out server.key 2048 ``` 这将在当前目录下生成一个名为 `server....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值