由于苹果平台的限制(截止2017年01月01日全面禁止http连接)以及通信安全的需要,最近https成为了大家热门讨论的话题。
先上可以被主流浏览器识别出来的CA免费证书机构:
1、https://startssl.com 这是一家国外的CA证书机构,目前支持免费获取域名的证书认证(期限3年);
2、阿里云的证书服务——也可以申请到免费的证书(期限1年)。
如果你的服务器用的是阿里云的SLB服务,建议使用阿里的证书服务产品(一个系统出来的东东,容易上手)。
免费获取CA证书的另外一种方式就是自签的形式了,缺陷是不被浏览器信任,有点是可以自定义设置期限。
如果你的服务不需要与客户端双向认证,建议使用startssl和阿里云的免费证书。
下面重点就是描述下自签证书的生成方式:
//创建根证书,并采用自签名签署它
//创建私钥
openssl genrsa -out root-key.pem 1024
//创建证书请求
openssl req -new -out root-req.csr -key root-key.pem
//自签署根证书
openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 3650
//将根证书导出成浏览器支持的.p12(PKCS12)格式
openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12
//创建服务器证书,并采用根证书签署它
//创建私钥
openssl genrsa -out server-key.pem 1024
//创建证书请求
openssl req -new -out server-req.csr -key server-key.pem
//签署服务器证书
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//将客户证书导出成浏览器支持的.p12(PKCS12)格式
openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12
//创建客户证书,并采用根证书签署它
//创建私钥
openssl genrsa -out client-key.pem 1024
//创建证书请求
openssl req -new -out client-req.csr -key client-key.pem
//签署客户证书
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//将客户证书导出成浏览器支持的.p12(PKCS12)格式
openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12
//将客户端证书导出成IOS支持的.cer格式
openssl x509 -in client-cert.pem -out client.cer -outform der
//将根证书导入到trustStore中
keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem -keystore root.jksv
980
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
