《openssl证书应用web服务中》由会员分享,可在线阅读,更多相关《openssl证书应用web服务中(3页珍藏版)》请在金锄头文库上搜索。
1、Liunx 下下 openssl 建立数字证书建立数字证书+httpd 应用应用第一部分:软件环境建设:第一部分:软件环境建设:Linux 下首先要安装软件,这里基于 linux9.0 版本,内核 2.4.20-8, Httpd 版本:httpd-2.0.40-21 Openssl 版本:openssl-0.9.7a-2 Mod_ssl 版本:mod_ssl-2.0.40-21 安装完成之后,可以使用 openssl 生成数字证书。第二部分:三种数字证书生成过程第二部分:三种数字证书生成过程一、生成根证书相关信息: 1、 生成根秘钥; Openssl genrsa des3 out rootc
2、a.key 1024 2、 根自签名证书,目的为了给其它证书签名和根证书之间信任关系; Openssl req new x509 days 3650 key rootca.key out rootca.crt 二、生成服务器端证书信息: 1、 生成服务器证书密钥; Openssl genrsa des3 out server.key 1024 2、 生成服务器根证书请求: Openssl req new key server.key out server.csr 3、 生成服务器证书,并由根证书签名: Openssl ca in server.csr out server.crt cert r
3、ootca.crt keyfile rootca.key config f 三、生成客户端证书密钥: 1、 生成客户端证书密钥; openssl genrsa des3 out clinet1.key 1024 2、 生成客户端证书请求: Openssl req new key clinet1.key out clinet1.csr 3、 生成客户端证书,并由根证书签名: Openssl ca in clinet1.csr out clinet1.crt cert rootca.crt keyfile rootca.key config f 4、 如果是微软下的浏览器,个人信息证书不能识别.c
4、rt 格式,需要将.crt 转换成.pfx 格式。Openssl pkcs12 export in clinet1.crt out clinet1.pfx inkey clinet1.key以上各步骤是生成根证书、服务器证书、客户证书的过程和方法,需要注意一些事项: 1、 生成服务器证书请求过程中, Common Name (eg, your name or your servers hostname)此处需要填写服务器的域名或者 IP 地址,才能够通过 IE 浏览器访问;否则报主机名和访问域名不一致。 2、 如果客户端是微软的浏览器,导入客户证书必须是 pfx 格式,因而需要将.crt 格式
5、转换成.pfx 格式,再导入到浏览器的个人证书中;而根证书不受格式限制,但也需要导入到 浏览器的受信任的根证书颁发机构中。 3、 各个阶段生成密钥过程中需要输入密码,需要记清楚,后边会使用前边的密码信息。 4、在证书签名阶段,可能需要修改下 f 中的内容,大部分是需要指定证书存放的 位置和密钥存放的位置。另外如果文件中无 index.txt,需要手工创建一个空的文件;如果无 serial 这个文件,也需要手工创建,并在里边输入两个 16 进制的数字即可(例 01)。具体错 误会有提示。 第三部分:数字证书应用到第三部分:数字证书应用到 http 服务部分:服务部分:上述完成之后,需要修改下边的
6、 httpd 部分的内容: 1、 需要将客户端证书、服务器端证书、根证书存到/etc/httpd/conf/ssl.crt 中。 Cp rootca.crt /etc/httpd/conf/ssl.crt Cp server.crt /etc/httpd/conf/ssl.crt Cp clinet1.crt /etc/httpd/conf/ssl.crt 也可以在上边制作证书的过程中使用-out /etc/httpd/conf/ssl.crt/*.crt 时同时保存。 2、 需要将客户端证书密钥、服务器端证书密钥、根证书密钥存到/etc/httpd/conf/ssl.crt 中。 Cp ro
7、otca.key /etc/httpd/conf/ssl.key Cp server.key /etc/httpd/conf/ssl.key Cp clinet1.key /etc/httpd/conf/ssl.key 也可以在上边制作证书的过程中使用-out /etc/httpd/conf/ssl.key/*.key 时同时保存。 3、 修改/etc/httpd/conf.d/ssl.conf 文件中一些部分: 1) 到 Server Certificate 处修改 SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt 2) 到 Serv
8、er Private Key 处修改 SSLCertificateKeyFile /etc/httpd/conf/ssl.key/server.key 3) 到 Certificate Authority(CA)处修改 SSLCACertificatePath /etc/httpd/conf/ssl.crt SSLCACertificateFile /etc/httpd/conf/ssl.crt/rootca.crt 4)到 Clinet Authenticate(TYPE)处将下边两行注释去掉,让强制客户端必须安装证书才能访 问服务器的网站; SSLVerifyClinet require SSLVerifyDepth 10第四部分:根证书和客户端数字证书导入到第四部分:根证书和客户端数字证书导入到 windows的的 IE 浏览器中:浏览器中:根和客户数字证书导入部分比较简单,省略。 第五部分:数字证书测试阶段:第五部分:数字证书测试阶段:1、在 linux 下重新启动 httpd,需要输入 server 的密钥。 2、在 windows 中通过 https:/IP 地址,就可以访问带加密的 https 的站点了。 3、通过抓包软件可以观察。
