《openssl证书申请专业资料.doc》由会员分享,可在线阅读,更多相关《openssl证书申请专业资料.doc(24页珍藏版)》请在金锄头文库上搜索。
1、1. 根证书的申请准备根证书准备一些空目录和文献,作用如下: certs/ 保存颁发的所有证书的副本 index.txt 跟踪已颁发的证书,初始为空 f openssl和根证书的配置文献 private/ CA证书的私钥 serial 最后一次颁发的证书的序列号,初始值01,也可以是00等其它值 f内容如下,我一气儿弄了2023的有效期: ca default_ca = FwolfCA FwolfCA dir = /big2/tools/cacertificate = $dir/cacert.pemdatabase = $dir/index.txtnew_certs_dir = $dir/ce
2、rtsprivate_key = $dir/private/cakey.pemserial = $dir/serialdefault_crl_days= 7default_days = 3650default_md = sha1policy = FwolfCA_policyx509_extensions = certificate_extensions FwolfCA_policy commonName = suppliedstateOrProvinceName = suppliedstateOrProvinceName = suppliedcountryName = suppliedemai
3、lAddress = suppliedorganizationName= suppliedorganizationalUnitName = optional certificate_extensions basicConstraints= CA:false# 下面是根证书的配置信息 req default_bits = 4096default_keyfile = /big2/tools/ca/private/cakey.pemdefault_md = sha1prompt = nodistinguished_name = root_ca_distinguished_namex509_exten
4、sions = root_ca_extensions root_ca_distinguished_name commonName = Fwolf CAstateOrProvinceName = The Earth# countryName只能是两位字母countryName = CNemailAddress = #organizationName = Root Certification AuthorityorganizationName = Fwolf CA Root root_ca_extensions basicConstraints = CA:true然后生成根证书:$ openssl
5、 req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config f会提醒输入密码以及确认密码。生成好以后可以验证一下(说是验证,其实就是看看内容):$ openssl x509 -in cacert.pem -text -noout给自己颁发证书$ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1按提醒输入两次密码,然后输入几项证书信息,注意其中organizationNam
6、e必须输入,并且Common Name要和域名一致,比如:Common Name (eg, YOUR name) :*就生成了私钥key文献和请求req文献,然后把req文献提交给CA根证书签署(盖章):$ openssl ca -in .req.pem -config f输入根证书的密码,就会在certs/目录下生成.pem证书文献,文献名以serial中的序号开头,信息会存储在index.txt中。这样生成的证书,在apache中配置需要两条语句,分别指定证书和私钥:SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.cert.pemS
7、SLCertificateKeyFile /big2/tools/ca/certs/.key.pem其实这两个文献是可以合并为一个文献的:$ cat .key.pem .cert.pem .pem然后在配置apache的时候就只需要一句了:SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.pem其它去掉证书的口令现在证书基本上就可以使用了,再返回来说一个问题,就是在启动apache的时候会提醒输入私钥的口令,要想去掉这个(一般都不会喜欢这样的),就规定在生成私钥的时候不要设立口令:$ openssl req -newkey rsa:409
8、6 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 -nodes生成根证书的时候还是建议带上个口令,提高安全性。index.txt此外,假如要清空index.txt的话,一定要清空到字节0,里面有一个字节都会导致openssl ca错误:wrong number of fields on line 1 (looking for field 6, got 1, left)证书吊销$ openssl ca -revoke .cert.pem# 生成CRL列表 $ openssl ca -gencrl -out examp
9、leca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表署名信息 $ openssl crl -in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL的版本号为1,这是OpenSSL默认的,除非crl_extensions被指定在配置文献ca一节中。 上传到MT主机上应用一方面在Server Certificates 中Add New Certificate,填上Add New Certificate(自己起),然后选下面的Private key私钥文献和
10、Certificate证书文献上传,就存到服务器上了。然后返回证书列表,选中新上传证书前面的复选框,点上面的链接Make default for Web sites设立为网站默认证书,也可以通过Secure control panel将其设立为控制面板所使用的证书。还没完,证书还得加到ip上才干生效,Server IP Addresses 中修改ip地址属性,在SSL Certificate中选择刚才上传的证书,保存,就立刻生效了。基于ssl/https协议的特性,一个ip上只能使用一个证书,所以合租用户是无法自己上传或者选择其它证书的,但是我现在使用的证书是签给“*”的,也就是所有域名都可以
11、使用,“好看”一点。让我不理解的是,假如在访问一个域名时批准了这个证书,在访问此外一个域名的时候还得再批准一遍,也就是证书和域名是要配套使用的,和我原先的想法不太一致。4.密钥和证书管理 密钥和证书管理是PKI的一个重要组成部分,OpenSSL为之提供了丰富的功能,支持多种标准。 一方面,OpenSSL实现了ASN.1的证书和密钥相关标准,提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序,同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编
12、解码功能。OpenSSL在标准中提供了对私钥的加密保护功能,使得密钥可以安全地进行存储和分发。 在此基础上,OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库,支持证书的管理功能,涉及证书密钥产生、请求产生、证书签发、吊销和验证等功能。 事实上,OpenSSL提供的CA应用程序就是一个小型的证书管理中心(CA),实现了证书签发的整个流程和证书管理的大部分机制。 下面说说俺在实际应用中证书的生成。1.初始化CA:OPENSSL req -x509 -config此处写配置文献的途径和名称 -extensions此处为配
13、置文献的根证书扩展配置 -newkey rsa:此处为编码大小 -keyout此处为输出密钥的文献名称 -out此处为输出根证书名称 -passout pass:此处为根证书密码 -days 此处为有效期,为天数。当执行完此命令,便生成了根证书的私钥和根证书。2.建立服务器证书:建立请求:OPENSSL req-new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出请求 -config 配置文献 -days 有效期 -nodes(输出密钥和请求为同一文献)建立newcert:OPENSSL ca -config 配置文献 -policy 配置文献中的段 -da
14、ys 有效期 -outnewcert.pem文献 -passin pass:CA密钥 -batch -extensions 配置文献中的段 -infiles 请求文献建立PKCS12格式证书:RANDFILE=random文献途径 OPENSSL pkcs12 -export -in newcert.pem途径 -inkey 请求的密钥文献 -certfileCA证书文献 -canameCA名称 -out 输出的pfx文献 -clcerts -name commonname -passout pass:RANDFILE=random文献途径 OPENSSL pkcs12 -in pfx文献 -out 输出的pem证书文献 -passin pass: -passout pass:建立DER格式证书:OPENSSL x509 -in 以上建立的pem证书文献 -out der证书文献 -inform PEM -outform DER3.建立用户证书:建立请求:OPENSSL req-new -newkey rsa:此处为密钥大小 -keyout 输出用户私钥文献 -out 输出用户请求 -config配置文献 -days 有效期(天)-nodes 建立证书:OPENSSL ca-co
