前期准备:
ssl证书生成一般可以通过2种工具:java环境下的keytool和openssl 但是大部分使用的都是openssl网上的命令文档也是以openssl居多,下面以openssl举例;
penSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
单独下载openssl的话需要配置环境,这点可以自行百度进行配置!
我这边因为还需要配置phpsudy服务器而phpstudy自带有openssl工具所以我就没有去单独下载,后面也是以phpstudy自带的openssl为例说明:
phpstudy本地路劲:
比如正常的openssl命令是下面这样:
openssl genrsa -des3 -out ca.key 2048
使用的时候则把openssl指向自己本地路劲的位置即可:
F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -des3 -out ca.key 2048
下面则直接使用正常命令,路劲手动替换一下即可:
win系统下新建一个文件夹用系统管理员打开windows.powershell界面:
开始正式生成证书:
1.CA私钥: ca.key
openssl genrsa -out ca.key 1024
2.创建根证书请求文件ca.csr:
openssl req -new -out ca.csr -key ca.key.key
这里需要填入配置信息:
Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs 组织或部门名
Common Name (eg, YOUR name) []:test.com 域名(尽量用服务器域名,不然会引起服务器警告)
Email Address []: 邮箱地址(不填直接回车)
A challenge password []:123456 密码
An optional company name []:gs 公司名
3.自签根证书ca.cer:
openssl x509 -req -in ca.csr -out ca.cer -signkey ca.key -CAcreateserial -days 3650
4.生成p12格式根证书ca.p12(密码填写123456,之前ca.csr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)
openssl pkcs12 -export -clcerts -in ca.cer -inkey ca.key -out ca.p12
5.生成服务端key server.key:
F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -out server.key 1024
6.生成服务端请求文件 server.csr
openssl req -new -out server.csr -key server.key
填入证书配置信息:
Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs 组织或部门名
Common Name (eg, YOUR name) []:test.com 域名(尽量用服务器域名,不然会引起服务器警告)
Email Address []: 邮箱地址
A challenge password []:123456 密码
An optional company name []:gs 公司名
7.生成服务端证书server.cer(ca.cer,ca.key,servr.key,server.csr这4个生成服务端证书):
openssl x509 -req -in server.csr -out server.cer -signkey server.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650
8.生成客户端key client.key:
openssl genrsa -out client.key 1024
9.生成客户端请求文件client.csr:
openssl req -new -out client.csr -key client.key
填入证书配置信息:
Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs 组织或部门名
Common Name (eg, YOUR name) []:tyl 签发机构\开发者人员(这里随意)
Email Address []: 邮箱地址
A challenge password []:123456 密码
An optional company name []:gs 公司名
10.生成客户端证书 client.cer:
openssl x509 -req -in client.csr -out client.cer -signkey client.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650
11.生成客户端p12格式根证书client.p12(密码设置123456):
openssl pkcs12 -export -clcerts -in client.cer -inkey client.key -out client.p12
至此,证书就制作完毕了:
服务器端配置(详细配置过程可见:
https://www.jianshu.com/p/bbf853fc28f3):
server {
listen 443 ssl; #http的端口号是80,https的端口为443
server_name www.test.com #服务器域名 配置多个时不要添加;号即可
ServerName 127.0.0.1
ServerName 192.168.0.111;
ssl on; #开启ssl
ssl_certificate C:\Users\Administrator\Desktop\ssl4\server.cer; #服务器证书文件
ssl_certificate_key C:\Users\Administrator\Desktop\ssl4\server.key; #服务器证书密匙
ssl_client_certificate C:\Users\Administrator\Desktop\ssl4\ca.cer; #根证书
ssl_verify_depth 1;
ssl_verify_client on; #开启客户端验证
location / {
root F:\PHPStudy\PHPTutorial\WWW; #本地网站文件目录
index index.HTML index.html index.htm ;
}
}
小建议:
制作的时候有的命令可以自行修改的,如证书名称等。
可自建一个txt文本,把openssl命令复制进去后再进行修改好后,才复制到windows powershell界面中执行
注意:
windows powershell执行openssl命令不能有错误提示,认真比对一下证书生成过后的提示,哪怕是警告也可能造成证书是失效的!我就踩过不少的坑,有的错误可以自行百度错误提示解决!
各类知识点整理:
- android https双向验证 前言及总结:https://www.jianshu.com/p/07ce321d80ab
- 单双向验证基础知识点: https://www.jianshu.com/p/ea5f4b1d9c00
- phpstudy搭建本地服务器: https://www.jianshu.com/p/bbf853fc28f3
- 浏览器获取证书文件(p12转cer):https://www.jianshu.com/p/7f74acab6c74
- android okhttps双向验证(代码实现):https://www.jianshu.com/p/6229d10d3550
- android webView的双向验证:https://www.jianshu.com/p/e98119d04fd9
- 配置完成后的测试:https://www.jianshu.com/p/cfcf708a591a
- Glide okhttps证书验证全局配置:https://www.jianshu.com/p/ac0b5c5f3ca7
工具类:
- P12证书转BKS证书:https://www.jianshu.com/p/2a96c36b27fe
- 服务器网址检测(兼容性及协议检测):https://www.ssllabs.com/index.html
源码:
- github:https://github.com/fs437563/android_https