證書文件生成:
一.服務器端
1.生成服務器端 私鑰(key文件);
openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3是加密算法,也可以選用其他安全的算法),以后每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果不要口令,則去除口令:openssl rsa -in server.key -out server.key
一.服務器端
1.生成服務器端 私鑰(key文件);
openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用於加密key文件(參數des3是加密算法,也可以選用其他安全的算法),以后每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果不要口令,則去除口令:openssl rsa -in server.key -out server.key
2.生成服務器端 證書簽名請求文件(csr文件);
openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名后形成服務端自己的證書.屏幕上將有提示,依照其 提示一步一步輸入要求的個人信息即可(如:Country,province,city,company等).
二.客戶端
1.生成客戶端 私鑰(key文件);
openssl genrsa -des3 -out client.key 1024
openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名后形成服務端自己的證書.屏幕上將有提示,依照其 提示一步一步輸入要求的個人信息即可(如:Country,province,city,company等).
二.客戶端
1.生成客戶端 私鑰(key文件);
openssl genrsa -des3 -out client.key 1024
2.生成客戶端 證書簽名請求文件(csr文件);
openssl req -new -key client.key -out client.csr
cd /tmp/create_key/ca
三.生成CA證書文件
#server.csr與client.csr文件必須有CA的簽名才可形成證書.
1.首先生成CA的key文件:
openssl genrsa -des3 -out ca.key 1024
2.生成CA自簽名證書:
openssl req -new -x509 -key ca.key -out ca.crt
可以加證書過期時間選項 "-days 365".
openssl req -new -key client.key -out client.csr
cd /tmp/create_key/ca
三.生成CA證書文件
#server.csr與client.csr文件必須有CA的簽名才可形成證書.
1.首先生成CA的key文件:
openssl genrsa -des3 -out ca.key 1024
2.生成CA自簽名證書:
openssl req -new -x509 -key ca.key -out ca.crt
可以加證書過期時間選項 "-days 365".
四.利用CA證書進行簽名
openssl ca -in ../server.csr -out ../server.crt -cert ca.crt -keyfile ca.key
openssl ca -in ../client.csr -out ../client.crt -cert ca.crt -keyfile ca.key
這兩條執行的時候因為沒有指定openssl.cnf 會報錯,不過沒關系,我們用默認的 /etc/pki/tls/openssl.cnf 就可以。
不過用默認的時候需要先執行下面兩行:
touch /etc/pki/CA/index.txt
echo 00 > /etc/pki/CA/serial