要生成证书的目录下建立几个文件和文件夹,有./demoCA/ ./demoCA/newcerts/./demoCA/index.txt./demoCA/serial,在serial文件中写入第一个序列号“01”
1.生成X509格式的CA自签名证书
$openssl
如果想让此证书有个期限,如一年,则加上"-days 365"
2.生成服务端的私钥(key文件)及csr 文件
$openssl genrsa -des3 -out server.key 1024
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
$openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要 求的个人信息即可
3.生成客户端的私钥(key文件)及csr文件
$openssl genrsa -des3 -out client.key 1024
$openssl req -new -key client.key -out client.csr
4.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名
$openssl ca -in server.csr -out server.crt -cert ca.crt -keyfileca.key
$openssl ca -in client.csr -out client.crt -cert ca.crt -keyfileca.key
5. 生成p12格式证书
$openssl pkcs12 -export -inkey client.key -in client.crt -outclient.pfx
$openssl pkcs12 -export -inkey server.key -in server.crt -outserver.pfx
6.生成pem格式证书
有时需要用到pem格式的证书,可以用以下方式合并证书文件(crt)和私钥文件(key)来生成
$cat client.crt client.key>client.pem
$cat server.crt server.key > server.pem
7.PFX文件转换为X509证书文件和RSA密钥文件
$openssl pkcs12 -in server.pfx -nodes -outserver.pem
$openssl rsa -in server.pem -outserver2.key
$openssl x509 -in server.pem -out server2.crt
生成
服务端证书:ca.crt, server.key, server.crt, server.pem,server.pfx
客户端证书:ca.crt, client.key, client.crt, client.pem,client.pfx
***************************************************************************************************************************************************************************************
二:证书文件生成
除将程序编译成功外,还需生成必要的证书和私钥文件使双方能够成功验证对方,步骤如下:
1.首先要生成服务器端的私钥(key文件):
openssl genrsa -des3 -out server.key 1024
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文 件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要 求的个人信息即可.
3.对客户端也作同样的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr
4.CSR文件必须有CA的签名才可形成证书.可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢.
首先生成CA的key文件:
openssl -des3 -out ca.key 1024
在生成CA自签名的证书:
openssl req -new -x509 -key ca.key -out ca.crt
如果想让此证书有个期限,如一年,则加上"-days 365".
("如果非要为这个证书加上一个期限,我情愿是..一万年")
5.用生成的CA的证书为刚才生成的server.csr,client.csr文件签名:
可以用openssl中CA系列命令,但不是很好用(也不是多难,唉,一言难尽),一篇文章中推荐用mod_ssl中的sign.sh脚本,试了一下,确实方便了不 少,如果ca.csr存在的话,只需:
./sigh.sh server.csr
./sign.sh client.csr
相应的证书便生成了(后缀.crt).
现在我们所需的全部文件便生成了.
其实openssl中还附带了一个叫CA.pl的文件(在安装目录中的misc子目录下),可用其生成以上的文件,使用也比较方便,但此处就不作介绍了.