转载请注明出处:http://blog.csdn.net/sunyujia/
其实我手头上有许多正规ca颁发的证书不过都是过期的,每次使用都需要调整系统日期,不方便,所以就想自己做一套以备平时测试使用。
本文只介绍如何配置,至于理论性的东西请读者自行 百度或者google 网上很多
配置步骤:
1.安装检查openssl环境
安装openssl的方法见http://blog.csdn.net/sunyujia/archive/2008/10/03/3014667.aspx
安装完成后将openssl/bin添加到环境变量path中,该目录下正常有4个文件
openssl.exe,ssleay32.dll,libeay32.dll,openssl.cnf
注意:cnf扩展名会被操作系统当成快捷方式,看不到扩展名,在dos下使用dir就可以看到。
进入cmd后输入openssl可能会提示
WARNING: can't open config file: /usr/local/ssl/openssl.cnf
提示找不到openssl.cnf ,没有关系在输入openssl命令前添加环境变量OPENSSL_CONF即可。
set OPENSSL_CONF=openssl.cnf
本教程使用openssl.cnf默认配置即可无需修改。
2.在openssl安装目录(bin目录的上一级目录,有openssl.cnf文件的目录即可)新建如下批处理脚本
在贴脚本前我先说明下脚本实现主要功能:
建立CA证书
签发Server端证书
签发Client端证书
用keytool生成tomcat使用的jks文件
此批处理文件较长,我已检查多次如果错误请读者指正,谢谢!
- @echo off
- echo.
- echo.
echo 单向SSL验证 TOMCAT_HOME/conf/server.xml文件配置示例
echo. - echo My Blog:ht^tp://blog.csdn.net/sunyujia/
- echo.
- set OPENSSL_CONF=openssl.cnf
- echo.
- echo 制作根证书
- echo 1.创建根证私钥
- if not exist root-key.key (
- echo 创建一个不加密的PEM格式的私钥root-key.key
- rem genrsa 用于生成一个 RSA 私钥
- rem 1024是私钥的长度,默认是 512 ,最大是 1024
- openssl genrsa -out root-key.key 1024
- ) else (
- echo 私钥root-key.key已经存在
- )
- echo 2.创建根证书请求文件
- if not exist root-req.csr (
- echo 使用root-key.key私钥 创建一个根证书请求文件root-req.csr
- rem -new 产生一个新的CSR, 它会要用户输入创建CSR的一些必须的信息.
- rem 至于需要哪些信息,是在config文件里面定义好了的.
- rem -key 指明我们的私有密钥文件名.允许该文件的格式是PKCS#8.
- rem 如果-key没有被set