使用OpenSSL创建证书
在OpenSSL的官网上只有源代码下载,并没有编译好的安装包。
https://www.openssl.org/
为了避免搭建编译环境的麻烦可以从wiki上下载编译后好的安装包。
https://wiki.openssl.org/index.php/Binaries
本文以32位版本的1.0.2n为例,介绍生成证书的步骤。
也可以从这里下载。
http://download.csdn.net/download/pingjiang2003/10253737
百度网盘
https://pan.baidu.com/s/1htYluYg
用缺省的安装路径和缺省的安装选项,安装完成后OpenSSL会在C盘OpenSSL-Win32目录下。
首先,生成一对D的私钥和公钥,用来给A的公钥加密。
C:\OpenSSL-Win32\bin>openssl genrsa -out ca.key 2048
ca.key是D的私钥。
genrsa是用RSA算法,2048是私钥的长度。
C:\OpenSSL-Win32\bin>openssl req -new -x509 -nodes -sha512 -days 7300 -subj "/CN=MY CA" -key ca.key -out ca.cer
ca.cer是D的公钥。
x509是证书格式,nodes表示不加密公钥,sha512是采用sha512算法计算摘要,days表示证书的有效期是7300天,subj是身份。
然后,生成一对A的私钥和公钥。
C:\OpenSSL-Win32\bin>openssl genrsa -out server.key 2048
server.key是A的私钥。
C:\OpenSSL-Win32\bin>openssl req -new -nodes -sha512 -key server.key -subj "/CN=mytest" -out server.csr
server.csr是证书请求文件。(Certificate Signing Request)
它包含A的公钥和身份信息“mytest”。mytest是需要证书认证的主机名或者域名等。
可以看到,这条命令和生成ca.pem的命令基本一致,只差两个参数。
-x509是证书格式,因为这是证书请求文件,并不是证书,所以不需要这个参数。
-days是证书的有效期,因为证书有效期是由ca决定的,所以也不需要这个参数。
最后,需要用D的私钥给A的公钥和身份加密(签名)。
在签名之前,需要先创建一个配置文件来设置Subject Alternative Name(SAN)。
把下面的内容拷贝到一个文本文件,比如:sign.cnf中。
[san_section]
subjectAltName = @san_names
[san_names]
DNS.1 = mytest
然后,用下面的命令就可以给server.csr签名了。
C:\OpenSSL-Win32\bin>openssl x509 -req -sha512 -days 7300 -in server.csr -set_serial 01 -CA ca.cer -CAkey ca.key -extensions san_section -extfile sign.cnf -out server.cer
server.cer就是A的数字证书。
这个方法的优点是不需要很多的辅助文件,缺点是只能设置证书的有效期,而无法设置证书生效的起止时间。
为了设置证书生效的起始时间,可以创建一个批处理文件,例如:signca.bat。
把下面的内容拷贝到文件中。
@echo off
for /f "tokens=2 delims==" %%a in ('wmic OS Get localdatetime /value') do set "dt=%%a"
set "YYYY=%dt:~0,4%" & set "MM=%dt:~4,2%" & set "DD=%dt:~6,2%"
date 2018-01-01
openssl x509 -req -sha512 -days 7300 -in server.csr -set_serial 01 -CA ca.pem -CAkey ca.key -extensions san_section -extfile sign.cnf -out server.pem
date %YYYY%-%MM%-%DD%
因为需要修改系统时间,所以需要在用管理员权限开启的命令窗口中运行这个批处理文件。
这是通过修改系统时间的方法,把证书生效的起始时间设定为2018年1月1日。
由于windows的IIS需要pfx格式的文件,所以,还需要把server.key和server.pem制作成pfx文件。
C:\OpenSSL-Win32\bin>openssl pkcs12 -export -out server.pfx -inkey server.key -in server.cer
在此过程中会提示输入密码,可以直接回车表示没有密码。