OpenSSL生成证书

http://blog.csdn.net/wanjie518/article/details/6259512

要生成证书的目录下建立几个文件和文件夹，有./demoCA/ ./demoCA/newcerts/./demoCA/index.txt./demoCA/serial，在serial文件中写入第一个序列号“01”

1.生成X509格式的CA自签名证书 
$openssl req-new -x509 -keyout ca.key -out ca.crt

 如果想让此证书有个期限,如一年,则加上"-days 365"

2.生成服务端的私钥(key文件)及csr 文件 
$openssl genrsa -des3 -out server.key 1024 

 

运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文 件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

$openssl req -new -key server.key -out server.csr

 生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要 求的个人信息即可

3.生成客户端的私钥(key文件)及csr文件 
$openssl genrsa -des3 -out client.key 1024 
$openssl req -new -key client.key -out client.csr

 

4.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名 
$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfileca.key 
$openssl ca -in client.csr -out client.crt -cert ca.crt -keyfileca.key

 

5. 生成p12格式证书 
$openssl pkcs12 -export -inkey client.key -in client.crt -outclient.pfx 
$openssl pkcs12 -export -inkey server.key -in server.crt -outserver.pfx

 

6.生成pem格式证书 
有时需要用到pem格式的证书，可以用以下方式合并证书文件（crt）和私钥文件（key）来生成 
$cat client.crt client.key>client.pem 
$cat server.crt server.key > server.pem

 

7.PFX文件转换为X509证书文件和RSA密钥文件 
$openssl pkcs12 -in server.pfx -nodes -outserver.pem 
$openssl rsa -in server.pem -outserver2.key 
$openssl x509 -in server.pem -out server2.crt

 

生成

服务端证书：ca.crt, server.key, server.crt, server.pem,server.pfx

客户端证书：ca.crt, client.key, client.crt, client.pem,client.pfx

***************************************************************************************************************************************************************************************

 

 

二:证书文件生成

除将程序编译成功外,还需生成必要的证书和私钥文件使双方能够成功验证对方,步骤如下:

1.首先要生成服务器端的私钥(key文件):
openssl genrsa -des3 -out server.key 1024
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文 件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

2.openssl req -new -key server.key -out server.csr
生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要 求的个人信息即可.

3.对客户端也作同样的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr

4.CSR文件必须有CA的签名才可形成证书.可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢.
首先生成CA的key文件:
openssl -des3 -out ca.key 1024
在生成CA自签名的证书:
openssl req -new -x509 -key ca.key -out ca.crt
如果想让此证书有个期限,如一年,则加上"-days 365".
("如果非要为这个证书加上一个期限,我情愿是..一万年")

5.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名:
可以用openssl中CA系列命令,但不是很好用(也不是多难,唉,一言难尽),一篇文章中推荐用mod_ssl中的sign.sh脚本,试了一下,确实方便了不 少,如果ca.csr存在的话,只需:
./sigh.sh server.csr
./sign.sh client.csr
相应的证书便生成了(后缀.crt).

现在我们所需的全部文件便生成了.

其实openssl中还附带了一个叫CA.pl的文件(在安装目录中的misc子目录下),可用其生成以上的文件,使用也比较方便,但此处就不作介绍了.