openssl生成证书

 

参考：OpenSSL简介

openssl 证书流程和概念

安装Git命令行工具后带有openssl。

生成公钥私钥

创建公钥

openssl genrsa -out private.pem 1024

创建私钥

openssl rsa -in private.pem -pubout -out public.pem

生成证书

证书主要的文件类型和协议有: PEM、DER、PFX、JKS、KDB、CER、KEY、CSR、CRT、CRL 、OCSP、SCEP等。

PEM – Openssl使用 PEM(Privacy Enhanced Mail)格式来存放各种信息,它是 openssl 默认采用的信息存放方式。Openssl 中的 PEM 文件一般包含如下信息:

1. 内容类型:表明本文件存放的是什么信息内容,它的形式为“——-BEGIN XXXX ——”,与结尾的“——END XXXX——”对应。
2. 头信息:表明数据是如果被处理后存放,openssl 中用的最多的是加密信息,比如加密算法以及初始化向量 iv。
3. 信息体:为 BASE64 编码的数据。可以包括所有私钥（RSA 和 DSA）、公钥（RSA 和 DSA）和 (x509) 证书。它存储用 Base64 编码的 DER 格式数据，用 ascii 报头包围，因此适合系统之间的文本模式传输。

使用PEM格式存储的证书：
—–BEGIN CERTIFICATE—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE—–
使用PEM格式存储的私钥：
—–BEGIN RSA PRIVATE KEY—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END RSA PRIVATE KEY—–
使用PEM格式存储的证书请求文件：
—–BEGIN CERTIFICATE REQUEST—–
MIICJjCCAdCgAwIBAgIBITANBgkqhkiG9w0BAQQFADCBqTELMAkGA1UEBhMCVVMx
………
1p8h5vkHVbMu1frD1UgGnPlOO/K7Ig/KrsU=
—–END CERTIFICATE REQUEST—–

CSR － 证书请求文件(Certificate Signing Request)。生成 X509 数字证书前,一般先由用户提交证书申请文件,然后由 CA 来签发证书。大致过程如下(X509 证书申请的格式标准为 pkcs#10 和 rfc2314):

1. 用户生成自己的公私钥对;
2. 构造自己的证书申请文件,符合 PKCS#10 标准。该文件主要包括了用户信息、公钥以及一些可选的属性信息,并用自己的私钥给该内容签名;
3. 用户将证书申请文件提交给 CA;
4. CA 验证签名,提取用户信息,并加上其他信息(比如颁发者等信息),用 CA 的私钥签发数字证书;
5. 说 明:数字证书(如x.509)是将用户(或其他实体)身份与公钥绑定的信息载体。一个合法的数字证书不仅要符合 X509 格式规范,还必须有 CA 的签名。用户不仅有自己的数字证书,还必须有对应的私钥。X509v3 数字证书主要包含的内容有:证书版本、证书序列号、签名算法、颁发者信息、有效时间、持有者信息、公钥信息、颁发者 ID、持有者 ID 和扩展项。

 

CRT － 证书文件。可以是PEM格式。
KEY   － 一般指PEM格式的私钥文件。

 

# openssl配置文件

 

# For the CA policy
[ policy_match ]
countryName = match
stateOrProvinceName = match
organizationName = match
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
“match”表示说明你填写的这一栏一定要和CA本身的证书里面的这一栏相同。supplied表示本栏必须，optional就表示本栏可以不填写。
[ CA_default ]
dir     = ./demoCA      # Where everything is kept.
new_certs_dir   = $dir/newcerts     # default place for new certs.
database    = $dir/index.txt    # database index file.
serial      = $dir/serial       # The current serial number
default_days    = 3650          # how long to certify for.
创建demoCA文件夹，newcerts文件夹，一个空的index.txt文件,一个初始值为01的serial 文件，用来给下一个证书做系列号。
#生成证书
1.首先要生成服务器端的私钥(key文件):
openssl genrsa -des3 -out server.key 1024
genras表示生成RSA私有密钥文件，-des3表示用DES3加密该文件，1024是我们的key的长度。

2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成Certificate Signing Request（CSR）

3.对客户端也作同样的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf

4.生成根证书(Root Certificate)

 

我们需要一个证书来为自己颁发的证书签名，这个证书可从其他CA获取，或者是自签名的根证书。这里我们生成一个自签名的根证书。

openssl genrsa -des3 -out ca.key 2048

 

openssl req -new -x509 -key ca.key -out ca.crt -days 3650 -config openssl.cnf
-x509：本option将产生自签名的证书。

5.用生成的ca指令为刚才生成的server.csr,client.csr文件签名:
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

 

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

6.随机数生成
openssl dhparam -out dh512.pem 512
openssl dhparam -out dh1024.pem 1024

server.cpp

 

context_.load_verify_file("server.csr");
context_.use_certificate_chain_file("server.crt");
context_.use_private_key_file("server.key",boost::asio::ssl::context::pem);
context_.use_tmp_dh_file("dh1024.pem");

client.cpp

 

context_.load_verify_file("ca.crt")