用OpenSSL配置HTTPS

Windows平台下配置HTTPS可以用Wndows提供的certficate service来创建CA，颁发证书。它以GUI的形式来方便使用，但是正是由于GUI，所以配置HTTPS起来就比较费时，需要点很多next，重复输入同样的信息（不知道有没有命令行)。

OpenSSL（http://www.openssl.org/） 是一个支持 SSL 的开源项目，可支持很多操作系统。可以通过它来快速配置HTTPS。

安装OpenSSL

Copy或下载OpenSSL安装包到本机，安装过程很简单。OpenSSL windows安装文件下载地址http://www.slproweb.com/products/Win32OpenSSL.html

建立CA

1)      在c:"建立目录 CASSL。

2)      解压HTTPS.zip。Copy “NewCA.bat”, “IIS.bat”, “SignClient.bat”, “openssl.conf” 到CASSL 下。

如果OpenSSL的安装路径不是在c:"OpenSSL下面，需要更改上面三个bat文件中的”path”段。改” path = C:"OpenSSL"bin” 为Openssl的实际路径。

3)      在控制台窗口(cmd.exe)中运行NewCA.bat, 按提示输入相应的信息

4)      完毕。检查CASSL" certs有 “ca.cer”文件, 其即为CA证书。输入密码其中之一为CA证书的保护密码，在用此CA证书签发其他证书时都会被要求输入此密码。

创建IIS证书

1)      将IIS的证书申请(certreq.txt)文件复制到CASSL"requests目录下。

2)      在控制台窗口(cmd.exe)中运行IIS.bat, 按提示输入相应信息。

3)      完毕后, iis.cer是IIS公钥证书。导入到IIS中即可。

创建Client证书

1)      在控制台窗口(cmd.exe)中运行SignClient.bat, 按提示输入相应信息。注意Common Name栏要输入使用此证书的机器名。

2)      输入密码为保护证书私钥。以后导出或使用client证书会用到。

3)      完毕后, client.cer是client公钥证书。Client.p12和client.pem为包含公钥和私钥的证书.

(签发IIS证书和Client证书类似）

导入CA证书

只有导入CA证书到系统信任的证书集中，IIS或IE才自动信任此CA证书签发的所有证书。

1)      通过MMC管理证书

点击开始菜单Run，输入mmc
点击Console " Add/Romove Snap-in. 弹出下面对话框
在对话框点击Add，在弹出对话框中选择”Certificates”. 点击Add 如下图。
一路Next下去，完成。

2)  将CA证书导入“系统信任根证书”

展开Certificates树行列表，如下图所以点击”Import”。在弹出的对话框中选择CA证书。Next下去，完成。

为了方便下次再打开”证书管理”, 可以将此次snap-in另存Console"Save As…


转自：VC知识库BLOG-羽毛球

 

cmacro 2008-05-05 15:11 发表评论