win64使用openssl生成ca证书

最新推荐文章于 2024-05-18 20:17:05 发布
最新推荐文章于 2024-05-18 20:17:05 发布
阅读量574 收藏 2
点赞数
原文链接:https://blog.csdn.net/zhaotengfei36520/article/details/41962077
版权


展开
一、准备工作:

1、 下载win64的Openssl,可到http://slproweb.com/products/Win32OpenSSL.html下载,这里下载1.0.1j版本。同时在该地址下载Visual C++ 2008Redistributables (x64)。如下图:

先安装Visual C++ 2008Redistributables (x64),然后安装Win64 OpenSSL v1.0.1j。这里我安装到D:\OpenSSL-Win64\目录下。

2、 下载Openssl源码,去官网http://www.openssl.org/下载即可。如下图:

解压openssl-1.0.1j.tar.gz,找到\openssl-1.0.1j\apps目录,拷贝demoCA目录和openssl.cnf文件到Openssl的安装目录下的bin目录下(即D:\OpenSSL-Win64\bin\)。

3、在D:\OpenSSL-Win64\bin目录下,创建ca、jks、server、client四个目录。 

二、开始生成证书:

打开命令提示行(cmd.exe),----如果是win7环境需要以管理员身份运行cmd.exe(一般在C:\Windows\System32下查找到cmd.exe右建以管理员身份运行),

并切换到Openssl安装目录的bin目录下。如下图:

依次执行下述命令。

(一)生成CA证书

1.创建私钥:

D:\OpenSSL-Win64\bin>opensslgenrsa -out ca/ca-key.pem 1024

2.创建证书请求:

D:\OpenSSL-Win64\bin>opensslreq -new -out ca/ca-req.csr -key ca/ca-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:BJ

Locality Name (eg, city) []:BJ

Organization Name (eg, company) [Internet Widgits PtyLtd]:ple

Organizational Unit Name (eg, section) []:live

Common Name (eg, YOUR name) []:root

Email Address []:

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自签署证书:

D:\OpenSSL-Win64\bin>opensslx509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days3650

4.将证书导出成浏览器支持的.p12格式:

D:\OpenSSL-Win64\bin>opensslpkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12

密码:passca     

(二)生成server证书

1.创建私钥:

D:\OpenSSL-Win64\bin>opensslgenrsa -out server/server-key.pem 1024

2.创建证书请求:

D:\OpenSSL-Win64\bin>opensslreq -new -out server/server-req.csr -key server/server-key.pem -config openssl.cnf

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:BJ

Locality Name (eg, city) []:BJ

Organization Name (eg, company) [Internet Widgits PtyLtd]:ple

Organizational Unit Name (eg, section) []:live

Common Name (eg, YOUR name) []:localhost   注释:一定要写服务器所在的ip地址//红色这里是本机测试,所以我写localhost

Email Address []:

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自签署证书:

D:\OpenSSL-Win64\bin>opensslx509 -req -in server/server-req.csr -out server/server-cert.pem -signkeyserver/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial-days 3650

4.将证书导出成浏览器支持的.p12格式:

D:\OpenSSL-Win64\bin>opensslpkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem-out server/server.p12

密码:passca  

(三)生成client证书

1.创建私钥:

D:\OpenSSL-Win64\bin>opensslgenrsa -out client/client-key.pem 1024

2.创建证书请求:

D:\OpenSSL-Win64\bin>opensslreq -new -out client/client-req.csr -key client/client-key.pem -config openssl.cnf

-----
Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:BJ

Locality Name (eg, city) []:BJ

Organization Name (eg, company) [Internet Widgits PtyLtd]:ple

Organizational Unit Name (eg, section) []:live

Common Name (eg, YOUR name) []:client

Email Address []:

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自签署证书:

D:\OpenSSL-Win64\bin>opensslx509 -req -in client/client-req.csr -out client/client-cert.pem -signkeyclient/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial-days 3650

4.将证书导出成浏览器支持的.p12格式:

D:\OpenSSL-Win64\bin>opensslpkcs12 -export -clcerts-in client/client-cert.pem -inkey client/client-key.pem -out client/client_err.p12

密码:passca

5. 生成客户端证书导出成浏览器支持的.p12格式(用于导入浏览器):

D:\OpenSSL-Win64\bin>opensslpkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -outclient/client.p12

密码:passca

(四)根据ca证书生成jks文件

D:\OpenSSL-Win64\bin>keytool -keystore D:/OpenSSL-Win64/bin/jks/truststore.jks -keypass 222222-storepass 222222 -alias ca -import -trustcacerts -file D:/OpenSSL-Win64/bin/ca/ca-cert.pem

(五)配置tomcat ssl

修改conf/server.xml。配置如下。xml 代码

   <Connectorport="8443" protocol="org.apache.coyote.http11.Http11Protocol"SSLEnabled="true"              maxThreads="150" scheme="https"secure="true" connectionTimeout="20000"               clientAuth="true"sslProtocol="TLS" useBodyEncodingForURI="true"enableLookups="false" acceptorThreadCount="2"socketBuffer="18000" maxHttpHeaderSize="262144"                keystoreFile="server.p12"keystorePass="passca" keystoreType="PKCS12"               truststoreFile="truststore.jks"truststorePass="222222" truststoreType="JKS"               SSLCertificateFile="../bin/server-cert.pem"                SSLCertificateKeyFile="../bin/server-key.pem" />

     这里使用到了四个文件,各个文件都是在前面的步骤中生成的。

     蓝色标识的server.p12和truststore.jks这两个文件需要放在tomcat的根目录下(如C:\Venustech\TSOC\webserver)。

     红色的server-cert.pem和server-key.pem默认是放在tomcat的bin文件夹下的(如C:\Venustech\TSOC\webserver\bin)。

    ☆绿色部分为必须的,否则证书不生效。

(六)验证ssl配置是否正确

访问系统http://localhost :8443/usm。如图:

 

(七)导入证书

将ca/ca.p12,client/client.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。

ca.p12导入至受信任的根证书颁发机构,client.p12导入至个人。

 重新访问系统。

注:1、细心的不难发现生成client.p12跟ca.p12是一样的,我测试时发现导入正常方式的client_err.p12不能正常访问系统,导入ca.p12能正常访问,有了解的大神帮助解决下。


————————————————
版权声明:本文为CSDN博主「ple婶」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/zhaotengfei36520/article/details/41962077

khzide
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用openssl生成单向ssl证书
04-04
通过以上步骤,你就成功地使用openssl生成了单向SSL证书,并将其应用于基于Boost.Asio的SSL通信测试。在实际生产环境中,通常会使用权威证书颁发机构签发的证书,以提供更高的信任度和安全性。但在测试和开发阶段,...
OpenSSL 一键生成证书
08-10
在IT行业中,理解和使用OpenSSL生成证书是至关重要的,特别是对于网络服务器配置和安全通信。 "OpenSSL 一键生成证书"项目是针对OpenSSL进行的二次开发,旨在简化证书创建过程。通常,生成SSL/TLS证书需要一系列...
【HTTPS双向加密认证】
weixin_33724046的博客
07-05 499
HTTPS单向认证和双向认证   nearzk-osc 发布时间: 2015/07/30 15:27   阅读: 4177   收藏: 178   点赞: 6   评论: 3 一、背景&amp;概念 HTTPS:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。 http协议直接放...
https CA自签证书
zhu0902150102的博客
03-21 604
openssl genrsa -out rootca.key 4096 openssl req -new -out rootca.csr -key rootca.key Country Name (2 letter code) [AU]:cn State or Province Name (full name) [Some-State]:sz Locality Name (eg, city) []:sz Organization Name (eg, company) [Internet Widgits
Windows下OpenSSL的下载,安装,环境变量配置,以及基于Visual Stdio项目的配置
最新发布
m0_61882573的博客
05-18 3937
2. 将所安装的OpenSSL的include路径添加到包含目录中,本文的include路径为:D:\Program Files\OpenSSL-Win64\include(文件夹如下图所示)。2.测试环境变量是否配置成功:cmd打开命令框,执行命令:opensll version,如下图所示,如果可以给出OpenSSL的版本即可证明已成功安装并成功配置环境变量。将lib路径添加到库目录的步骤为:链接器 -> 常规 -> 附加库目录,然后将选择的lib路径添加到附加库目录中。正确的运行结果如下图所示。
本地调试,解决证书错误
u010227042的博客
02-20 1621
申请的证书,都需要验证DNS或验证网站。 本地测试无法验证了,https总是提示“证书错误”。 如何让浏览器认为本地站点是安全的,避免每次访问提示“没有加密”? 安装一个自签名证书。 1 下载openssl。 http://slproweb.com/products/Win32OpenSSL.html 到这里下载一个windows版本的(1.1.1d),有32/64位的,有正常几十M的,也有light版本3M左右的。 比如Win64OpenSSL_Light-1_1_1d.exe 就是64..
windows如果快速安装OpenSSL(懒人安装)
yang_ch_y的博客
06-21 7275
随便下载一个好了,反正都是exe的,建议还是下载和自己电脑匹配的。安装完成之后配置一下环境变量。把openssl安装路径bin的路径(例如 C:\OpenSSL-Win64\bin)加入到操作系统的系统环境变量Path中。​OpenSSL是一个功能丰富且自包含的开源安全工具箱,提供一系列的开发组件,提供出来的API可供使用。在命令中输入 openssl version ,验证是否安装成功,出现下图中的版本信息,表示自己安装成功了。(一定要重启哈,别偷懒,国外的软件大多都要重启电脑,这个我有血的教训)
openssl生成证书+安装+使用实例 (二)
zhangji
03-16 1687
转载自 https://blog.csdn.net/g1531997389/article/details/80048313 openssl生成证书主要为以下三步:1. 生成CA证书2. 生成Server证书3.生成Client证书一. 安装openssl(windows)下载地址:http://slprow...
Java如何基于command调用openssl生成私钥证书
08-18
今天,我们将介绍如何使用Java基于command调用openssl生成私钥证书。 什么是私钥证书? 私钥证书是一种数字证书,用于确认网站或服务器的身份。它通常包含了公钥、颁发者信息、证书持有人信息、有效期限等信息。...
Win64OpenSSL.zip
05-12
2. 创建CSR(Certificate Signing Request):使用OpenSSL的`req`命令生成CSR,这是向证书颁发机构(CA)申请SSL证书所需的文件,其中包含了服务器的身份信息。 3. 获取SSL证书:将CSR提交给CA,他们验证信息后会...
Win64OpenSSL-1_0_2h.rar
05-14
在"Win64OpenSSL-1_0_2h.exe" 文件中,安装后会在系统中提供所需的动态链接库文件(DLLs)和头文件,以便于开发者在Windows 64位环境中使用OpenSSL的功能。开发者可以利用这些库文件来编译和链接支持SSL/TLS的程序。...
windows下安装和使用OpenSSL生成1024字节公私钥
weixin_44454510的博客
09-19 2112
SSL是Secure Sockets Layer(安全套接层协议)的缩写,Netscape公司在推出第一个Web浏览器的同时,提出了SSL协议标准。其目标是保证两个应用间通信的保密性和可靠性,可在服务器端和用户端同时实现支持。已经成为上保密通讯的工业标准。通俗来讲,就是SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。帮助我们生成公私秘钥对。
openSSL双向数字证书认证
li123128的博客
11-16 1038
  注:SSL双向数字证书认证原理,请阅读上篇文章《SSL 与 数字证书 的基本概念和工作原理》      一:生成CA证书      目前不使用第三方权威机构的CA来认证,自己充当CA的角色。      openssl中有如下后缀名的文件      .key格式:私有的密钥      .csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request...
SSL安全证书生成及概念解释
weixin_42258128的博客
08-20 4498
SSL安全证书-概念解析   一、关于证书 数字证书是一种认证机制。简单点说,它代表了一种由权威机构颁发授权的安全标志。 由来 在以前,传统网站采用HTTP协议进行数据传输,所有的数据几乎都用的明文,很容易发生隐私泄露。为了解决安全问题,大家开始考虑采用加解密的方案,于是乎诞生了公钥加密(非对称加解密)及签名算法。浏览器从服务端得到公钥,经过协商并生成动态密钥,此后所有的请求响应都基于动...
windows环境安装openssl工具
大华的程序人生
03-23 1792
建议,不要拷贝到系统目录下,如果其他软件使用OpenSSL版本与你安装这个版本不同,可能导致该软件无法使用Win64 OpenSSL v1.1.1i Light,安装Win64 OpenSSL v1.1.1i最常用的软件包。Win32 OpenSSL v1.1.1i Light,安装Win32 OpenSSL v1.1.1i最常用的软件包。Win64 OpenSSL v1.1.1i,安装Win64 OpenSSL v1.1.1i完整软件包。直接在cmd中,输入命令,查看OpenSSL版本。
Win10_64bit源码nmake方式安装OpenSSL
huaqianzkh的专栏
01-06 2721
源码nmake方式手动安装openssl,一步一步安装过来! 按住 shift键 鼠标右击桌面,点击“在此处打开powershell窗口”,输入openssl version 查看,如果安装完成,即可显示出openssl当前的版本。注:visual studio 2019 如果没有安装nmake,则需要自己通过visual studio Installer安装相关的vc++组件。
windows openssl安装和基本使用(代码演示)
热门推荐
C++ 开发者的博客
09-22 1万+
windows, vs2019 openssl安装,openssl基本使用,C demo
SSL/TLS深度解析--OpenSSL 生成自签证书
weixin_33695450的博客
10-29 3560
密钥算法 OpenSSL 支持 RSA、DSA 和 ECDSA 密钥,但是在实际场景中只是用 RSA 和 ECDSA 密钥。例如 Web 服务器的密钥,都使用RSA或ECDSA,因为DSA效率问题会限制在1024位(相对旧版本浏览器不支持更长的DSA密钥),ECDSA还没有全面范围的普及。比如SSH,一般都是使用DSA和RSA,而不是所有的客户端(不只是浏览器)都支持ECDSA算法。 密钥长度...
OpenSSL生成CA自签名根证书和颁发证书
FLY的博客
08-05 6284
openssl ca
如何使用openssl生成ca证书
07-25
使用OpenSSL生成CA证书,你可以按照以下步骤进行操作: 1. 安装OpenSSL:首先,确保你的系统上已经安装了OpenSSL。你可以在终端中运行 `openssl version` 命令来验证是否已安装。 2. 创建私钥:使用下面的命令...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值