手工签署证书的方法

原创 2002年02月21日 11:10:00

虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器
的证书签名,但是有时你可能需要改变它。

当然有很多自动的脚本可以实现它,但是最可靠的方法是手工签署
证书。

首先我假定你已经安装好了openssl和MOD_SSL,如果你的openssl安装时
的prefix设置为/usr/local/openssl,那么把/usr/local/openssl/bin加入
执行文件查找路径。还需要MOD_SSL源代码中的一个脚本,它在MOD_SSL的
源代码目录树下的pkg.contrib目录中,文件名为 sign.sh。
将它拷贝到 /usr/local/openssl/bin 中。

先建立一个 CA 的证书,
首先为 CA 创建一个 RSA 私用密钥,
[S-1]
openssl genrsa -des3 -out ca.key 1024
系统提示输入 PEM pass phrase,也就是密码,输入后牢记它。
生成 ca.key 文件,将文件属性改为400,并放在安全的地方。
[S-2]
chmod 400 ca.key
你可以用下列命令查看它的内容,
[S-3]
openssl rsa -noout -text -in ca.key

利用 CA 的 RSA 密钥创建一个自签署的 CA 证书(X.509结构)
[S-4]
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
然后需要输入下列信息:
Country Name: cn 两个字母的国家代号
State or Province Name: An Hui 省份名称
Locality Name: Bengbu 城市名称
Organization Name: Family Network 公司名称
Organizational Unit Name: Home 部门名称
Common Name: Chen Yang 你的姓名
Email Address: sunstorm@263.net Email地址
生成 ca.crt 文件,将文件属性改为400,并放在安全的地方。
[S-5]
chmod 400 ca.crt
你可以用下列命令查看它的内容,
[S-6]
openssl x509 -noout -text -in ca.crt


下面要创建服务器证书签署请求,
首先为你的 Apache 创建一个 RSA 私用密钥:
[S-7]
openssl genrsa -des3 -out server.key 1024
这里也要设定pass phrase。
生成 server.key 文件,将文件属性改为400,并放在安全的地方。
[S-8]
chmod 400 server.key
你可以用下列命令查看它的内容,
[S-9]
openssl rsa -noout -text -in server.key

用 server.key 生成证书签署请求 CSR.
[S-10]
openssl req -new -key server.key -out server.csr
这里也要输入一些信息,和[S-4]中的内容类似。
至于 'extra' attributes 不用输入。

你可以查看 CSR 的细节
[S-11]
openssl req -noout -text -in server.csr

下面可以签署证书了,需要用到脚本 sign.sh
[S-12]
sign.sh server.csr
就可以得到server.crt。
将文件属性改为400,并放在安全的地方。
[S-13]
chmod 400 server.crt

删除CSR
[S-14]
rm server.csr


最后apache设置
如果你的apache编译参数prefix为/usr/local/apache,
那么拷贝server.crt 和 server.key 到 /usr/local/apache/conf
修改httpd.conf
将下面的参数改为:
SSLCertificateFILE /usr/local/apache/conf/server.crt
SSLCertificateKeyFile /usr/local/apache/conf/server.key


       以上代码来自: 源代码数据库(SourceDataBase)
           当前版本: 1.0.392
               作者: Shawls
           个人主页: Http://Shawls.Yeah.Net
             E-Mail: ShawFile@163.Net
                 QQ: 9181729

手工签署证书的方法

手工签署证书的方法虽然在安装MOD_SSL时已经使用 make certificate 命令建立了服务器 的证书签名,但是有时你可能需要改变它。 当然有很多自动的脚本可以实现它,但是最可靠的方法是手工...
  • xymyeah
  • xymyeah
  • 2006年10月10日 11:38
  • 822

Mac:如何应对证书过期

前面两篇分别介绍了苹果软件安装包证书过期的问题和现实中所做成的麻烦,下面来说说如何应对它。 首先,让我们来回顾一下Apple的建议,它说应该重新到Apple的Download网站中下载该程序包。但是...
  • afatgoat
  • afatgoat
  • 2012年03月29日 23:20
  • 9881

微信与财付通接口签名调试总结

博客原文 传送门:t.hengwei.me 微信与财付通接口签名调试总结 这几年国内互联网的迅速发展不仅催生出了BAT,也使得第三方支付平台异军突起。在欧美还是信用卡统治的时代,另一个具有...
  • hengwei_vc
  • hengwei_vc
  • 2015年07月30日 22:50
  • 951

Openssl自签证书

1. 创立根证书密钥文件(自己做CA)root.key: openssl genrsa -des3 -out root.key 2. 创立根证书的申请文件root.csr: openss...
  • YUAN1125
  • YUAN1125
  • 2015年12月30日 16:13
  • 1945

WAS和IHS配置SSL 加密传输

1       密钥库1.1    IHS密钥库和证书1.1.1   建立密钥数据库文件 1.  进入新建密钥数据库文件界面。2.  密钥数据库类型选择CMS,确定文件名(IHSkey.kdb)及文件...
  • TechChan
  • TechChan
  • 2010年11月08日 11:31
  • 6582

Android签署应用

签署您的应用 本文内容 证书和密钥库 签署您的调试构建 调试证书的有效期 签署您的发布构建 配置构建流程以自动签署您的 APK 以不同方式签署每个产品风味 ...
  • jushenziao
  • jushenziao
  • 2016年12月12日 17:28
  • 577

火狐打不开百度 报错sec_error_ocsp_invalid_signing_cert

前些天因为myeclipse的试用期过期了,但是还想用,又不经常用,所以没怎么花心思去找激活码,就想着改了电脑的系统时间,结果发现火狐在打开百度的时候报错 安全连接失败 连接 ...
  • u011558902
  • u011558902
  • 2015年11月04日 17:15
  • 2813

Android Studio SHA1证书指纹数据

备忘: 申请KEY的时候需要开发者提供SHA1证书指纹数据,在eclipse很容易就找到了,但是Android Studio很久也没找到,只能使用在网上看到的方法了,在Android Studio中的...
  • wangtao0921
  • wangtao0921
  • 2015年06月23日 10:25
  • 625

Apache OpenSSL生成CA证书使用

最近在学习SSL协议,这次是基于Apache服务器自带的openssl来实现的TLS:传输层安全协议SSL:安全套接字层KEY:私钥CSR:证书签名请求,即公钥,生成证书时需要将此提交给证书机构,生成...
  • mixika99
  • mixika99
  • 2018年01月19日 09:09
  • 70

监控WebSphere 6.1以及WAS6.1生成和配置安全证书的方法

注明:本文转载自网上,原文地址(该地址已经不能访问了): http://hi.baidu.com/lff0305/blog/item/cb80ac3107ccdca05fdf0e3e.html  ...
  • yunzhu666
  • yunzhu666
  • 2013年03月12日 09:14
  • 2836
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:手工签署证书的方法
举报原因:
原因补充:

(最多只允许输入30个字)