码迷,mamicode.com
首页 > 其他好文 > 详细

OpenSSL自制证书

时间:2015-05-01 11:54:18      阅读:113      评论:0      收藏:0      [点我收藏+]

标签:

http://note.q2zy.com/openssl%E8%87%AA%E5%88%B6%E8%AF%81%E4%B9%A6/

 

今天倒腾了下OpenSSL自制证书,这里做个记录。

我是使用的Mac OS,系统自带OpenSSL,OpenSSL使用的默认配置/System/Library/OpenSSL/openssl.cnf。

首先由于是默认配置,先按照默认配置的要求建立目录结构:

 

1
2
3
mkdir -p ./demoCA/{private,newcerts}
touch ./demoCA/index.txt
echo 01 > ./demoCA/serial

其中serail存放下一个证书的序列号,index.txt存放证书信息数据库。

然后生成CA证书的RSA密钥对:

1
openssl genrsa -des3 -out ./demoCA/private/cakey.pem 2048

参数解释:

genrsa:用于生成 RSA 密钥对的 OpenSSL 命令。

-des3:使用3-DES对称加密算法加密密钥对,该参数需要用户在密钥生成过程中输入一个口令用于加密。今后使用该密钥对时,需要输入相应的口令。如果不加该选项,则不对密钥进行加密。

-out ./demoCA/private/cakey.pem:令生成的密钥对保存到文件./demoCA/private/cakey.pem。

2048:RSA模数位数,在一定程度上表征了密钥强度。

接着生成CA证书请求:

为了获取一个 CA 根证书,我们需要先制作一份证书请求。先前生成的CA密钥对被用于对证书请求签名。

1
openssl req -new -days 365 -key ./demoCA/private/cakey.pem -out careq.pem

参数解释:

req:用于生成证书请求的OpenSSL命令。

-new:生成一个新的证书请求。该参数将令OpenSSL在证书请求生成过程中要求用户填写一些相应的字段。

-days 365:从生成之时算起,证书时效为365天。

-key ./demoCA/private/cakey.pem:指定./demoCA/private/cakey.pem为证书所使用的密钥对文件。

-out careq.pem:令生成的证书请求保存到文件 careq.pem。

最后通过对CA证书请求进行签名得到CA的证书:

在实际应用中,用户可以通过向知名CA递交证书请求来申请证书。但是在这里,我们需要建立的是一个根CA ,只能由我们自己来对证书请求进行签名。

1
openssl ca -selfsign -in careq.pem -out ./demoCA/cacert.pem

ca:用于执行CA相关操作的OpenSSL命令。

-selfsign:使用对证书请求进行签名的密钥对来签发证书,即自签名。

-in careq.pem:指定careq.pem为证书请求文件。

-out ./demoCA/cacert.pem:指定./demoCA/cacert.pem为输出的证书。

至此,我们已经生成了一个根证书./demoCA/cacert.pem以及其对应的RSA密钥对的私钥./demoCA/private/cakey.pem,接下来无论是FTPS、HTTPS还是其它什么需要使用证书的地方,都是可以直接使用这个证书的。

除了直接使用根证书,我们也可以选择用根证书签发新的证书来使用。

首先是生成新证书的RSA密钥对:

1
openssl genrsa -out newkey.pem 2048

此处因为我们架设HTTPS服务器需要使用其私钥,所以这里没有使用3-DES加密。

然后是生成新证书请求:

1
openssl req -new -days 365 -key newkey.pem -out newreq.pem

新证书请求使用先前生成的新密钥进行签名。

最后使用CA对新证书请求进行签名得到新证书:

1
openssl ca -in newreq.pem -out newcert.pem

注意此处由于签名需要使用的CA的私钥,而CA的私钥我们使用了3-DES加密,所以我们需要输入CA的私钥来完成此操作。

自此,我们就用我们自制的根证书签发了一个新的证书,通过这样的方式,我们还可以继续用根证书签发的二级证书再签发三级证书,完成证书的管理。

最后在写几个可能需要是用的命令:

查看证书:

1
openssl x509 -noout -text -in cert.pem

验证证书:

1
openssl verify -CAfile ./demoCA/cacert.pem hostcert.pem

对加密的私钥进行解密(Apache需要解密后的私钥):

1
openssl rsa -in encrypted_key.pem -out decrypted_key.pem

一步生成同时包含私钥和证书的文件:

1
openssl req -new -x509 -days 365 -nodes -out cert.pem -keyout cert.pem

这个文件中由于已经包含了私钥,所以在使用的时候,可以只指定证书文件为此文件,而不用再同时指定私钥文件。

 

OpenSSL自制证书

标签:

原文地址:http://www.cnblogs.com/human/p/4470505.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!