以下简介引用自百度文库:
“ OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
SSL能使用户/服务器应用之间的通信不被攻击者窃听,并且始终对服务器进行认证,还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的,高层的应用层协议(例如:HTTP,FTP,TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。”
因为工作中需要用到openssl,所以决定参考网上教程,在ubuntu上将整个生成密钥、证书和尝试通信的步骤尝试一遍:
1. 安装openssl
因ubuntu系统已经自带openssl,所以无需安装。
若系统中未安装openssl,可以下载源码后解压,进到openssl目录中后运行:
./config --prefix=/usr/local/openssl
make && make install
2. 创建主证书
2.1、如果是ubuntu自带的openssl,那么openssl路径为”/usr/lib/ssl”.
2.2、如果是自行安装的openssl,则路径为执行./config时后面带有的路径。
2.3、在”/home/kevin/work”目录下创建openssl目录:
mkdir -p /home/kevin/work/openssl
2.4、将原openssl目录下的ssl/misc/CA.sh拷贝到自己创建的测试目录下:
cp /usr/lib/ssl/misc/CA.sh /home/kevin/work/openssl
2.5、创建主证书:
./CA.sh -newca
按照提示完成需要填写的信息,若生成成功会在当前目录下的demoCA目录下生成证书文件,demoCA/private/cakey.pem为ca证书私钥,demoCA/cacert.pem为ca根证书。
2.6、拷贝成ca.crt
cp demoCA/cacert.pem ca.crt
3. 生成服务器证书
3.1、生成服务器私钥:
openssl genrsa -des3 -out server.key 1024
3.2、生成csr文件:
openssl req -new -key server.key -out server.csr
3.3、签名并生成证书:
openssl ca -in server.csr -out server.crt
4. 生成客户端证书
3.1、生成客户端私钥:
openssl genrsa -des3 -out client.key 1024
3.2、生成csr文件:
openssl req -new -key client.key -out client.csr
3.3、签名并生成证书:
openssl ca -in client.csr -out client.crt
5. 查看生成的密钥和证书信息
* view key info*
openssl rsa -noout -text -in server.key
* view CSR info*
openssl req -noout -text -in server.csr
* view cert info*
openssl x509 -noout -text -in ca.crt
verify cert
openssl verify -CAfile ca.crt server.crt