MacOS openssl下生成建立CA并生成服务器和客户端证书方法

最新推荐文章于 2024-08-23 10:48:15 发布
最新推荐文章于 2024-08-23 10:48:15 发布
阅读量7.1k 收藏 1
点赞数 1
双向认证:

  1. 客户端向服务器发送消息,首先把消息用客户端证书加密然后连同时把客户端证书一起发送到服务器端,
  2. 服务器接到消息后用首先用客户端证书把消息解密,然后用服务器私钥把消息加密,把服务器证书和消息一起发送到客户端,
  3. 客户端用发来的服务器证书对消息进行解密,然后用服务器的证书对消息加密,然后在用客户端的证书对消息在进行一次加密,连同加密消息和客户端证书一起发送到服务器端,
  4. 到服务器端首先用客户端传来的证书对消息进行解密,确保消息是这个客户发来的,然后用服务器端的私钥对消息在进行解密这个便得到了明文数据。

 

单向认证:

  1. 客户端向服务器发送消息,
  2. 服务器接到消息后,用服务器端的密钥库中的私钥对数据进行加密,然后把加密后的数据和服务器端的公钥一起发送到客户端,
  3. 客户端用服务器发送来的公钥对数据解密,然后在用传到客户端的服务器公钥对数据加密传给服务器端,
  4. 服务器用私钥对数据进行解密,

这就完成了客户端和服务器之间通信的安全问题,但是单向认证没有验证客户端的合法性。


在OpenSSL的安装目录下的misc目录下,运行脚本 

% /usr/local/ssl/misc/CA.sh -newca

运行完后会生成一个demoCA的目录,里面存放了CA的证书和私钥。


生成server证书

1.创建私钥 :

% openssl genrsa -out server/server-key.pem 1024

2.创建证书请求 :

% openssl req -new -out server/server-req.csr -key server/server-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:localhost   #此处一定要写服务器所在ip

Email Address []:server@server.com

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

3.自签署证书 :

% openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

% openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12

密码:123456


生成client证书 

1.创建私钥 :

% openssl genrsa -out client/client-key.pem 1024

2.创建证书请求 :

% openssl req -new -out client/client-req.csr -key client/client-key.pem

-----

Country Name (2 letter code) [AU]:cn

State or Province Name (full name) [Some-State]:bj

Locality Name (eg, city) []:bj

Organization Name (eg, company) [Internet Widgits Pty Ltd]:tb

Organizational Unit Name (eg, section) []:tb

Common Name (eg, YOUR name) []:dong

Email Address []:dong@dong.com

 

 

Please enter the following 'extra' attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

 

3.自签署证书 :

% openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA demoCA/cacert.pem -CAkey demoCA/private/cakey.pem -CAcreateserial -days 3650

4.将证书导出成浏览器支持的.p12格式 :

% openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12

密码:123456


验证可以:openssl verify -CAfile /etc/ins/ca.crt /etc/ins/client.crt


生成 apache ssl 证书

% cp server/server-req.csr newreq.pem
/usr/local/ssl/misc/CA.sh -sign
创建 apache 需要 ssl 证书内容:
% mkdir ssl
% cp newcert.pem ssl/server.crt
% cp demoCA/cacert.pem ssl/cacert.pem
同时复制一份证书:
% cp demoCA/cacert.pem ssl/ca.crt
apache配置
% vi /usr/local/apache/conf/extra/ssl.conf

# 指定服务器证书位置

SSLCertificateFile /usr/local/apache/conf/ssl/server.crt

# 指定服务器证书key位置

SSLCertificateKeyFile /usr/local/apache/conf/ssl/server.key

# 证书目录

SSLCACertificatePath /usr/local/apache/conf/ssl

# 根证书位置

SSLCACertificateFile /usr/local/apache/conf/ssl/cacert.pem

% vi /usr/local/apache/conf/extra/httpd_vhosts.conf

listen 443 https

 NameVirtualHost *:443

 <VirtualHost _default_:443>

 DocumentRoot "/home/zhangy/www/metbee/trunk/src/web"

 ServerName  *:443

 ErrorLog "/home/zhangy/apache/www.metbee.com-error.log"

 CustomLog "/home/zhangy/apache/www.metbee.com-access.log" common

 Include conf/extra/ssl.conf

 </VirtualHost>



来源

http://zhumeng8337797.blog.163.com/blog/static/10076891420133130138156/      

... 

Leon-2012
关注
使用mac openssl 生成证书
iChenfy的专栏
12-06 6617
第一步Openssl产生私钥 RSA 第二步生成公钥 第三步创建证书签名请求CSR文件 第四步生成证书 其它 第一步:Openssl产生私钥 (RSA) //1、生成私钥 $ openssl genrsa -aes128 -out fd.key 2048 Generating RSA private key, 2048 bit long modulus ....+++ ......
mac ssl证书路径_Mac 生成ssl自签证书CA证书
weixin_39863759的博客
12-22 803
创建自签证书1.执行 opensslLast login: Tue Sep 29 19:35:49 on ttys001➜ ~ opensslOpenSSL>2.执行genrsa -des3 -out server.key 2048 生成server.key私钥文件OpenSSL> genrsa -des3 -out server.key 2048Generating RSA pr...
mac Let‘s Encrypt 免费SSL证书申请
conquer的博客
08-23 364
SSL 免费证书申请
mac证书生成与使用
weixin_30483495的博客
06-23 628
打开钥匙串访问。选择从证书颁发机构请求证书生成到本地即可。然后 点击继续默认名字即可也可自行设定,这个无关紧要,然后选择生成位置。然后就生成啦下面的证书然后 登陆苹果开发者官方网站:https://developer.apple.com/点击 左上角的 account,然后进入登陆窗口sign in (ps: 你在做这些之前得保证你已经有开发者账号了,这个是收费的,可以用公司的,也可以用个人...
mac系统下生成ssl证书
u010921136的博客
08-14 3217
mac系统下生成ssl证书
OpenSSL证书生成Mac上Apache服务器配置HTTPS(也适用centos)
weixin_34107739的博客
11-29 159
  自签名证书 配置Apache服务器SSL 自己作为CA签发证书 这里是OpenSSL和HTTPS的介绍OpenSSLHTTPS 开启HTTPS配置前提是已在Mac上搭建Apache服务器Mac上Apache服务器搭建 先在桌面创建个SSL文件夹,用来放生成的私钥证书文件打开终端cd到SSL文件夹cd desktop/SSL   1. 自签名证书...
Mac& Linux 自签 CA证书 https
qq_43426271的博客
05-09 243
制作 github.com连接 https://github.com/asppj/mkcert 出现过的Error ERR_CERT_INVALID(不建议,忽略问题不是解决问题;说明证书签错了) https://segmentfault.com/a/1190000021843971/ 在chrome该页面上,直接键盘敲入这12个字符:`thisisunsafe` - *注意:鼠标点击当前页面任意位置,让页面处于最上层即可输入** ERR_CERT_VALIDITY_TOO_LONG 证书
openssl 生成pfx
最新发布
10-23
OpenSSL中,PFX(Personal Information Exchange)是一种包含私钥、公钥以及证书的二进制文件格式,常用于Windows系统中的客户端服务器。要使用OpenSSL生成PFX文件,通常需要以下操作: 1. **合并证书和私钥**...
OPENSSL 要求的所以内容包括安装建立CA等等
03-03
5. **证书链的构建**:了解如何为服务器客户端创建子证书,并将它们与根证书链接起来,形成完整的证书链。 6. **C#与OpenSSL交互**:C#开发人员可以使用P/Invoke或.NET Framework的Mono.Security库来调用OpenSSL...
openssl1.1.1k.zip
03-26
1. **SSL/TLS 协议**:SSL(Secure Sockets Layer)和 TLS(Transport Layer Security)是互联网上广泛使用的协议,用于在客户端服务器之间建立安全的通信通道,保护数据免受中间人攻击。 2. **加密算法**:...
openssl汇总
08-21
OpenSSL 提供了创建自签名证书CA证书颁发机构)的功能。`openssl req` 命令可以创建证书请求,而 `openssl x509` 命令则可以签发证书。对于测试环境,自签名证书是常见的选择;而在生产环境中,通常会购买或...
OpenSSL-Win32.rar
08-20
OpenSSL 是一个强大的安全套接层(SSL)和传输层安全(TLS)协议实现库,同时也包含各种加密算法、证书工具和其他相关功能。这个“OpenSSL-Win32.rar”压缩包显然包含了专为Windows 32位系统编译的OpenSSL库和相关...
mac 10.10.3 jdk 添加证书 cacerts文件路径
08-04 3372
要添加证书,因为系统是mac,版本为10.10.3,终于找到cacerts文件的路径,这里做一下记录。 /Library/Java/JavaVirtualMachines/jdk1.7.0_75.jdk/Contents/Home/jre/lib/security
mac自签名根证书制作步骤
PandaraWen 宝盒
02-07 3910
原文转自:http://www.cnblogs.com/liubiqu/archive/2011/10/26/2225147.html 操作步骤过程: (一)制作证书 1、 打开   Finder->应用程序->实用工具 ->  钥匙串访问  2、单击:"钥匙串访问"选择  "证书" 再选择"创建证书"过程如下图:     3、证书名称必须填写为:"iP
mac制作ssl证书|生成自签名证书,nodejs+express在mac上搭建https+wss(websocket)服务器
09-03 2292
mac 自带 openssl 所以没必要像 windows 一样先安装 openssl,直接生成即可。让输入两次密码,随便,但是两次得是一样的。express 文档地址。
macos系统生成本地开发环境的ssl证书过程
kevin_lcq的博客
07-18 1025
请注意,这是一个自签名证书,只能用于开发和测试目的,不能在生产环境中使用。如果您需要在生产环境中使用 SSL 证书,请考虑购买来自受信任的证书颁发机构(CA)的证书。在执行此命令时,您将被要求提供一些证书信息,如国家/地区名称、组织名称、通用名称等。对于通用名称(Common Name),请确保输入您的域名,即。导航到您希望保存证书文件的目录。现在,您已经生成了包含私钥和证书的 PEM 文件,其中。您可以将这些文件用于您的本地开发环境。这将生成一个有效期为 365 天的自签名证书文件。
记一次 Mac CA证书 问题
weixin_30361641的博客
08-01 1576
问题: 具有该名称的证书颁发机构配置文件已经存在。请挑选不同的名称。 今天在使用 navicat-keygen 这个工具时候, 需要使用苹果的 Keychains 自建 CA证书 . 由于手贱把第一次创建的证书给删除了, 再次创建就提示上面那个问题, 明明已经在 Keychains 里面删除了, 为啥还会有这种问题呢. 这里当然可以再次创建一个新名称的证书, 但是这个提示总给人感觉哪里...
系统添加根证书
u011238098的博客
01-26 892
How to add CA to system root Reference KERIO Overview If you want to send or receive messages signed by root authorities and these authorities are not installed on the server, you must add a trusted root certificate manually. Use the following steps to
Charles 4.1.4使用
李守彬的空间
08-22 1697
写在前面的话:借鉴许多网上的例子,自己卸载Charles 从头到尾重新走了一遍,全程截图。 从官网下载链接http://www.charlesproxy.com/download安装  tips:安装完会提出一个提醒  点解Grant Privileges 信任即可,如果点击Not Yet 或者关闭按钮,Charles 将会取消Mac 代理,需要手动设置,设置时会再次弹出该窗口。设置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值