OpenSSL生成CA证书及终端用户证书

时间：2018-05-15 18:27:09 阅读：285 评论：0 收藏：0 [点我收藏+]

标签：rsa cert bit serve 信任 info under bsd blank

环境

FreeBSD 11.1-RELEASE
OpenSSL 1.0.2K

步骤

1. 生成CA根证书

1.1 准备ca配置文件，得到ca.conf

vim ca.conf

内容如下

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Ted CA Test

1.2 生成ca秘钥，得到ca.key

openssl genrsa -out ca.key 4096

1.3 生成ca证书签发请求，得到ca.csr

openssl req \
  -new \
  -sha256 \
  -out ca.csr \
  -key ca.key \
  -config ca.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

1.4 生成ca根证书，得到ca.crt

openssl x509 \
    -req     -days 3650     -in ca.csr     -signkey ca.key     -out ca.crt

2. 生成终端用户证书

2.1 准备配置文件，得到server.conf

vim server.conf

内容如下

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = www.ted2018.com

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = www.ted-go.com
DNS.2   = www.ted2018.com
IP      = 192.168.93.145

注意Chrome 58以后不再使用CN校验地址（就是就是浏览器地址栏URL中的那个地址host）了，而是使用SAN，注意配置里写对。

IE 11还是使用CN。

火狐还是有些问题，待排查。

2.2 生成秘钥，得到server.key

openssl genrsa -out server.key 2048

2.3 生成证书签发请求，得到server.csr

openssl req \
  -new \
  -sha256 \
  -out server.csr \
  -key server.key \
  -config server.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

2.4 用CA证书生成终端用户证书，得到server.crt

openssl x509 \
  -req \
  -days 3650 \
  -CA ca.crt \
  -CAkey ca.key \
  -CAcreateserial \
  -in server.csr \
  -out server.crt \
  -extensions req_ext \
  -extfile server.conf

验证

1. 配置web服务器

Web服务器选用nginx（Windows），关键配置如下

    server {
        listen       443 ssl;
        server_name  localhost;
        root    D:\websocketd-0.3.0-windows_amd64;

        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            index  index.html index.htm;
        }
    }

把生成好的server.crt和server.key文件放在与nginx.conf同一目录下。