ubuntu用openssl生成私钥和证书步骤

以下简介引用自百度文库：

“ OpenSSL 是一个强大的安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。
SSL能使用户/服务器应用之间的通信不被攻击者窃听，并且始终对服务器进行认证，还可选择对用户进行认证。SSL协议要求建立在可靠的传输层协议(TCP)之上。SSL协议的优势在于它是与应用层协议独立无关的，高层的应用层协议(例如：HTTP，FTP，TELNET等)能透明地建立于SSL协议之上。SSL协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商及服务器认证工作。在此之后应用层协议所传送的数据都会被加密，从而保证通信的私密性。”

因为工作中需要用到openssl，所以决定参考网上教程，在ubuntu上将整个生成密钥、证书和尝试通信的步骤尝试一遍：

1. 安装openssl
因ubuntu系统已经自带openssl，所以无需安装。
若系统中未安装openssl，可以下载源码后解压，进到openssl目录中后运行：

./config --prefix=/usr/local/openssl
make && make install

2. 创建主证书
2.1、如果是ubuntu自带的openssl，那么openssl路径为”/usr/lib/ssl”.
2.2、如果是自行安装的openssl，则路径为执行./config时后面带有的路径。
2.3、在”/home/kevin/work”目录下创建openssl目录：

mkdir -p /home/kevin/work/openssl

2.4、将原openssl目录下的ssl/misc/CA.sh拷贝到自己创建的测试目录下：

cp /usr/lib/ssl/misc/CA.sh /home/kevin/work/openssl

2.5、创建主证书：

./CA.sh -newca

按照提示完成需要填写的信息，若生成成功会在当前目录下的demoCA目录下生成证书文件，demoCA/private/cakey.pem为ca证书私钥，demoCA/cacert.pem为ca根证书。

2.6、拷贝成ca.crt

cp demoCA/cacert.pem ca.crt

3. 生成服务器证书
3.1、生成服务器私钥：

openssl genrsa -des3 -out server.key 1024

3.2、生成csr文件：

openssl req -new -key server.key -out server.csr

3.3、签名并生成证书：

openssl ca -in server.csr -out server.crt

4. 生成客户端证书
3.1、生成客户端私钥：

openssl genrsa -des3 -out client.key 1024

3.2、生成csr文件：

openssl req -new -key client.key -out client.csr

3.3、签名并生成证书：

openssl ca -in client.csr -out client.crt

5. 查看生成的密钥和证书信息

* view key info*

openssl rsa -noout -text -in server.key

* view CSR info*

openssl req -noout -text -in server.csr

* view cert info*

openssl x509 -noout -text -in ca.crt

verify cert

openssl verify -CAfile ca.crt server.crt