码迷,mamicode.com
首页 > 其他好文 > 详细

利用OpenSSL创建证书链并应用于IIS7

时间:2014-10-21 19:19:56      阅读:294      评论:0      收藏:0      [点我收藏+]

标签:des   style   blog   http   color   io   os   ar   strong   

一、系统环境说明

  • Linux & OpenSSL
1 Linux localhost 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
2 [root@localhost /home/study]#openssl version
3 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

 

  • Windows & IIS

  Windows 7 X64 , IIS 7, 默认网站

二、创建密钥链

  注意:请先看一下最后的注意事项,避免走弯路。

  1. 创建根证书(自签名证书)

1 echo "create root ca key"
2 openssl genrsa -out root-key.key 1024
3 echo ----------------------
4 echo "create root cert request"
5 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA"
6 echo ----------------------
7 echo "create root self sign cert"
8 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days 3650 -text -extfile openssl.cnf -extensions v3_ca

  2. 创建中级证书(利用RootCA私钥签名)

1 echo "create 2 level cert key"
2 openssl genrsa -des3 -out root-mid.key 1024
3 echo ----------------------
4 echo "create 2 level cert csr"
5 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA"
6 echo ----------------------
7 echo "sign with root-crt"
8 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial  -days 3650 -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca

  3. 创建服务器证书(利用中级证书私钥签名)

  证书申请创建:

bubuko.com,布布扣

1 #在IIS中“创建证书申请”文件,拷贝到Linux系统中(假设名称为Server.csr)
2 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days 3560 -out Server.crt -text -extfile openssl.cnf -extensions v3_ca

  4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中

  5. 导入RootCA.crt导入到“受信任的根证书颁发机构”,MidCA.crt导入到“中级证书颁发机构” --- 都是本地计算机

  6. 执行“完成证书申请步骤”,绑定网站到SSL,并指定证书为Server.crt的友好名称

bubuko.com,布布扣

  7. 访问https://ip即可进行验证。

三、注意事项

  1. 当证书签发超过两级时,在IE中查看证书是会出现如下“因为证书路径中的证书颁发机构似乎没有颁发证书的权限或不能被用作终端实体证书,证书无效”错误,修改openssl默认配置即可。

1 # This is what PKIX recommends but some broken software chokes on critical
2 # extensions.
3 #basicConstraints = critical,CA:true
4 # So we do this instead.
5 #basicConstraints = CA:true
6 # xwliu
7 basicConstraints = CA:true,pathlen:3

四、参考资料

关于数字证书的概念请参考以下链接:

 <http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>

关于证书与证书链的高层次理解请参考如下链接:

<http://lukejin.iteye.com/blog/587200>

其他参考资料:

 <http://firefly.iteye.com/blog/674208

 <http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>

 

****************转载请注明出处******************

利用OpenSSL创建证书链并应用于IIS7

标签:des   style   blog   http   color   io   os   ar   strong   

原文地址:http://www.cnblogs.com/Persue-A-Good-Life/p/4040988.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!