之前我们项目的证书都是rsa的,这次本意是希望能升级到国密,但是理想过于丰满
一、GMSSL安装
# 下载
wget https://github.com/guanzhi/GmSSL/archive/master.zip
# 解压
unzip master.zip
# 进入目录
cd GmSSL-master
# 配置config指定目录
./config --prefix=/usr/local/gmssl
make
make install
# 查看版本,验证是否安装成功
cd /usr/local/gmssl/
bin/gmssl version
# 报错了,这是由于openssl库的位置不正确造成的
bin/gmssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
# 现在基本都是建立软连接,但是可能都没说清楚就会比较懵。
# 1.首先确认gmssl的安装路径,我的是/usr/local/gmssl
# 2.应该将gmssl目录下的lib下的对应文件建立软连接
# 3.确认以上两点后,执行下面的命令
ln -s /usr/local/gmssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ln -s /usr/local/gmssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
# 再执行bin/gmssl version,则正常返回版本信息
二、使nginx支持国密
一开始我认认真真的自己编译了nginx和gmssl,换了几个版本,但是编译出来后ssl_protocols都不能使用GMTLS
所谓前人栽树后人乘凉果然有道理,于是我找到了这个
nginx-gm
但是说明比较简约,要不是我自己之前尝试编译了nginx和gmssl,可能现在还在坑里爬不出来
# 下载上面地址的程序并解压
unzip nginx-gm-master.zip
# 进入目录
cd nginx-gm-master/auto/lib/openssl
# 备份原文件
cp conf conf.bak
# 编辑conf,将全部 $OPENSSL/.openssl/修改为$OPENSSL/
vi conf
# 回到原目录
cd nginx-gm-master
# 修改一下 vi build.sh
# 主要修改了nginx安装完后的路径以及gmssl路径
./auto/configure \
--prefix=/usr/local/nginxgm \
--with-http_ssl_module \
--with-http_realip_module \
--with-http_addition_module \
--with-http_sub_module \
--with-http_dav_module \
--with-http_flv_module \
--with-http_mp4_module \
--with-http_gunzip_module \
--with-http_gzip_static_module \
--with-http_random_index_module \
--with-http_secure_link_module \
--with-http_stub_status_module \
--with-http_auth_request_module \
--with-threads \
--with-stream \
--with-stream_ssl_module \
--with-http_slice_module \
--with-mail \
--with-mail_ssl_module \
--with-file-aio \
--with-http_v2_module \
--with-openssl=/usr/local/gmssl
# 执行build.sh
sh build.sh
# 安装
make install
# 完成后/usr/local/nginxgm已有相关文件
三、sm2证书生成及验证
1.证书生成
# 1.以下命令在哪个目录执行的就会生成到哪个目录
# 2.openssl.cnf需要放在执行命令的目录下,主要修改了key usage,以便分别生成签名证书和加密证书,这个文件我附在本篇博客最后
# 3.这里-extfile openssl.cnf -extensions v3_ca既是为了区分前面和加密证书也是为了生成v3版本的证书,如果不加生成的是V1版本的
# 4.其实目前这里疑问还是挺多的,但是先上手再说
# 生成CA证书
/usr/local/gmssl/bin/gmssl ecparam -genkey -name sm2p256v1 -noout -out root.key
/usr/local/gmssl/bin/gmssl req -new -key root.key -out root.req -subj "/C=CN/ST=HeBei/L=ShiJiaZhuang/O=WYW/CN=root"
/usr/local/gmssl/bin/gmssl x509 -req -days 3650 -sm3 -in root.req -extfile openssl.cnf -extensions v3_ca -signkey root.key -out root.crt
# Server签名证书
/usr/local/gmssl/bin/gmssl ecparam -name sm2p256v1 -genkey -noout -out server.key
/usr/local/gmssl/bin/gmssl req -new -SM3 -key server.key -out server.csr -subj /C=CN/ST=HeBei/L=ShiJiaZhuang/O=WYW/CN="192.168.46.161"
/usr/local/gmssl/bin/gmssl x509 -req -SM3 -days 3650 -in server.csr -extfile openssl.cnf -extensions v3_req -CA root.crt -CAkey root.key -set_serial 1000000001 -out server.crt
# Server加密证书
/usr/local/gmssl/bin/gmssl ecparam -name sm2p256v1 -genkey -noout -out server_en.key
/usr/local/gmssl/bin/gmssl req -new -SM3 -key server_en.key -out server1.csr -subj /C=CN/ST=HeBei/L=ShiJiaZhuang/O=WYW/CN="192.168.46.161"
/usr/local/gmssl/bin/gmssl x509 -req -SM3 -days 3650 -in server1.csr -extfile openssl.cnf -extensions v3enc_req -CA root.crt -CAkey root.key -set_serial 1000002001 -out server_en.crt
# 客户端签名证书
/usr/local/gmssl/bin/gmssl ecparam -genkey -name sm2p256v1 -noout -out client.key
/usr/local/gmssl/bin/gmssl req -new -key client.key -out client.req -subj "/C=CN/ST=HeBei/L=ShiJiaZhuang/O=WYW/CN=alipay"
/usr/local/gmssl/bin
最低0.47元/天 解锁文章
扫一扫
177
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
