国密证书生成实践

时间：2019-09-23 11:59:29 阅读：228 评论：0 收藏：0 [点我收藏+]

标签：tab param cert subject csr gnu 依赖书签实验环境

实验环境：

Linux ubuntu/Centos 64
x86_64 x86_64 x86_64 GNU/Linux

1、根据官网说明安装gmssl

$ unzip GmSSL-master.zip
$ cd GmSSL-master
$ ./config no-saf no-sdf no-skf no-sof no-zuc  no-shared         #不去编译动态库，编译出来的gmssl不再依赖libssl.so
$ make
$ sudo make install

2、修改/usr/local/ssl/openssl.cnf配置

$ vi   /usr/local/sslopenssl.cnf

[ ca ]
default_ca      = CA_default            # The default ca section
[ CA_default ] #dir		= ./demoCA		# Where everything is kept 
dir		= /home/myapp/demoCA  #此处修改

3、初始化CA目录

1)创建根目录

$ mkdir -p  /home/myapp/demoCA
$ cd /home/myapp/demoCA

2)创建其他目录

在此路径下要创建好/usr/local/ssl/openssl.cnf中需要的certs， crl ，new_certs_dir和private_key的子目录，默认是newcerts和private

$ mkdir certs crl newcerts private

3)创建好database文件index.txt

touch index.txt

4)创建好serial文件，并写入初始序号，如01

echo "01" > serial

4、生成国密证书步骤

(1)生成根证书

1）生成私钥key

$ gmssl ecparam -genkey -name sm2p256v1 -text -out Root.key -config  /usr/local/ssl/openssl.cnf

2）生成证书签名请求

$ gmssl req -new -key Root.key -out Root.req -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Root/OU=Root\ Sign/CN=RootCA/emailAddress=Root@gmail.com  
-config /usr/local/ssl/openssl.cnf

3）生成根证书

$ gmssl x509 -req -days 3650 -sm3 -in Root.req -signkey Root.key -out RootCA.crt $ cp RootCA.crt demoCA/
$ cp Root.key demoCA/private/

　类似于 apache/ssl/ca.crt和apache/ssl/ca.key

(2)生成中间证书（即客户端证书）

1）生成私钥

$ gmssl ecparam -genkey -name sm2p256v1 -text -out Medium.key -config  /usr/local/ssl/openssl.cnf

2）生成客户证书请求

$ gmssl req -new -key Medium.key -out Medium.req -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Medium/OU=Medium\ Sign/CN=MediumCA/emailAddress=Medium@gmail.com  -config  /usr/local/ssl/openssl.cnf

3）签发证书

$ gmssl x509 -req -sm3 -days 3650 -CA  RootCA.crt -CAkey demoCA/private/Root.key -CAcreateserial -in Medium.req -out MediumCA.crt

4）证书验证

$ gmssl verify -CAfile RootCA.crt MediumCA.crt

$ cp MediumCA.crt demoCA/
$ cp Medium.key demoCA/private/

5）证书转换成浏览器认识的格式 pfx

$ gmssl pkcs12 -export  -inkey Medium.key -in MediumCA.crt -out test.pfx -passin  pass:xxx -passout pass:xxx

6) 查看证书信息

PKCS转换为PEM
gmssl pkcs12 -in test.pfx -out cert.pem -nodes
转换后可查看证书信息
打印出证书的内容：
gmssl x509 -in cert.pem -noout -text
打印出证书的系列号
gmssl x509 -in cert.pem -noout -s erial
打印出证书的拥有者名字
gmssl x509 -in cert.pem -noout -subject
打印出证书的MD5特征参数
gmssl x509 -in cert.pem -noout -fingerprint

（3）生成服务器证书

1) 生成私钥

$ gmssl ecparam -genkey -name sm2p256v1 -text -out Server.key -config /usr/local/ssl/openssl.cnf

2) 证书请求

$ gmssl req -new -key Server.key -out Server.csr -subj /C=CN/ST=Guang\ Zhou/L=GZ/O=Server/OU=Server\ Sign/CN=ServerCA/emailAddress=Server@gmail.com -config /usr/local/ssl/openssl.cnf

3) 签发证书

$ gmssl x509 -req -sm3 -days 3650 -CA RootCA.crt -CAkey demoCA/private/Root.key -CAcreateserial -in Server.csr -out ServerCA.crt

4）证书验证

$ gmssl verify -CAfile RootCA.crt ServerCA.crt

国密证书生成实践

标签：tab param cert subject csr gnu 依赖书签实验环境

原文地址：https://www.cnblogs.com/mrwh/p/11558888.html

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行