mac系统下生成ssl证书
准备工作:配置/private/etc/ssl/openssl.cnf
[ ca ]
default_ca = CA_default
[ CA_default ]
dir = /Users/xxx/xxx/ssl # 工作目录
certs = $dir/certs
crl_dir = $dir/crl
database = $dir/index.txt # 需要新建一个空文件
new_certs_dir = $dir/newcerts # 需要新建一个空目录
certificate = $dir/cacert.pem
serial = $dir/serial # 需要新建一个文件,内容为:00
crlnumber = $dir/crlnumber
crl = $dir/crl.pem
private_key = $dir/private/cakey.pem
RANDFILE = $dir/private/.rand
x509_extensions = usr_cert
name_opt = ca_default
cert_opt = ca_default
default_days = 365
default_crl_days= 30
default_md = sha1
preserve = n
policy = policy_match
步骤一:自己模拟CA产生一个私钥
- - - CA是证书颁发机构,提供服务器/客户端的第三方认证服务,私钥是CA机构私有,不公开
openssl genrsa -des3 -out ca.key 4096
步骤二:使用CA私钥生成CA证书
- - - CA机构公开的证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
步骤三:为服务器生成一个私钥
- - - 服务器私钥用于签名和解密
openssl genrsa -out server.key 4096
步骤四:使用私钥生成一个证书请求
- - - csr包含了服务器的“厂商信息”以及“公钥”等
openssl req -new -key server.key -out server.csr
步骤五:模拟CA通过证书请求csr颁发证书
- - - CA机构为此服务器做认证担保,颁发证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365
使用说明
服务端需用到的文件
server.key
server.crt
ca.crt (模拟CA用,使用公共CA服务器时不需要)
客户端需用到的文件
ca.crt (模拟CA用,使用公共CA服务器时不需要)
使用过程
1、客户端发起https请求,服务端返回server.crt证书
2、客户端请求CA对此server.crt做认证
3、认证通过,客户端即可使用此证书中的公钥加密数据
4、服务端收到加密的数据,即可通过私钥解密
使用私钥时,报以下异常:
java.security.spec.InvalidKeySpecException: java.security.InvalidKeyException
解决方案:将服务器私钥转换成pkcs8格式
openssl pkcs8 -topk8 -inform PEM -in server.key -outform pem -nocrypt -out server.pkcs8.key