openssl——自签名根证书、签名客户端和服务器证书

生成根证书:

1,创建私钥(私钥公钥对):

openssl genrsa -out root.key 2048

生成根证书

也可以是pem文件,也可为了区分这是私钥而改用key后缀名,内容如下:


pem文件格式

Image.png

查看详细解析:包含两个大素数和两个指数和一个系数

openssl rsa -in root.key -text

可通过命令提取公钥:

openssl rsa -pubout -in root.key

Image.png
Image.png

Image.png

Image.png

2,根据私钥生成请求文件:

openssl req -new -out root-req.csr -key root.key -keyform PEM

-keyform PEM:证书有pem和der格式之分,前者文本,多用于java和windows服务器,后者二进制

CSR是Certificate Signing Request的英文缩写,即证书请求文件

生成证书请求文件

3,自签名生成根证书,此处是自签root证书,其他情况则是找证书签发机构签发:

openssl x509 -req -in root-req.csr -out root-cert.cer -signkey root.key -CAcreateserial -days 365

自签名生成root CA根证书

-CAcreateserial,创建证书序列号,使用此选项,当CA序列号文件不存在时将被创建:它将包含序列号“02”,正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在,则会出现错误。

-days据说3650天有时候会意外导致证书验证失败,没遇到过

此处可有pem、crt、cer多种输出格式,其实内容都一样,来试一下:

签名生成不同后缀名的证书

每次生成的证书都不一样,但是未发现不同后缀名下的证书格式不同。

我的理解:

pem是最基本的编码格式,der也相同。

CRT文件是由第三方证书颁发机构(例如VeriSign或DigiCert)提供和生成的安全文件,ASCII编码格式。

cer是crt的微软形式。

为了统一,全使用cer格式。

至此,已完成根证书的签发。

可选择将证书和私钥导入密钥库,通常用p12和jks( Java Key Store)格式:

openssl pkcs12 -export -in root-cert.cer -inkey root.key -out root.p12 -name "lab"

将证书导入证书库,rootCA绝密保护,根证书签发机构的rootCA禁止联网操作

需要加密保护,-name设置别名

然后可选择使用keytool将p12转为jks格式,此处就不做转换了。

生成客户端证书:

步骤基本相同

1,生成私钥key:

生成私钥

2,生成请求文件

生成请求文件

3,使用root根证书为客户端颁发证书

root证书为服务器签发证书

4,证书和私钥导入生成p12:

导入密钥库保护

生成服务器端证书:

步骤基本相同

1,生成私钥key:

openssl genrsa -out server-key.key 2048

生成私钥

2,生成请求文件

openssl req -new -out server-req.csr -key server-key.key -keyform PEM

生成请求文件

3,使用root根证书签发服务器证书

openssl x509 -req -in server-req.csr -out server-cert.cer -CA F:\CERT\mycert\ test\openssl\win\root\root-cert.cer -CAkey F:\CERT\mycert\test\openssl\win\root\root.key -CAcreateserial -days 360

root为客户端签发证书

4,证书和私钥导入生成p12:

openssl pkcs12 -export -in server-cert.cer -inkey server-key.key -out server. p12 -name "lab-server"

导入密钥库

Note:

运行环境要包含完整证书链。需要将证书链放到系统可信目录下。

为证书绑定ip,只能通过config文件,

文件如下【可将常用参数写入,生成请求文件时直接enter即可】:


encrypt_key = no

distinguished_name = CA_DN

req_extensions = v3_req

[CA_DN]

countryName = Country Name (2 letter code)

contryName_default = "CN"

stateOrProvinceName = State or Province Name (full name)

stateOrProvinceName_default = "BJ"

localityName = Locality Name (eg, city)

localityName_default = "bj"

organizationName = organizationName(eg,company)

organizationName_default = "CNCERT"

organizationalUnitName  = organizationalUnitName

organizationalUnitName_default  = "labServer"

commonName = Common Name(e.g. server FQDN or your name)

commonName_default = "labServer.cncert.cn"

[v3_req]

basicConstraints = CA:FALSE

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

subjectAltName = @alt_names

[alt_names]

IP.1 = 182.92.89.154

使用配置文件时在生成请求文件和签发证书时的参数不同:
生成请求文件:
openssl req -new -out server-req1.csr -key server-key.key -keyform PEM -extensions v3_req -config openssl. cnf

通过config配置生成请求文件

签发证书:

openssl x509 -req -in server-req1.csr -out server-cert1.cer -CA F:\CERT\mycert\test\openssl\win\root\root- cert.cer -CAkey F:\CERT\mycert\test\openssl\win\root\root.key -CAcreateserial -days 360 -extensions v3_req -extfile openssl.cnf

使用config配置签发证书

默认证书链长度为2,使用中间ca签发时,中间ca的生成需要在配置文件中加修改长度参数:

[ v3_ca ]

basicConstraints = CA:true,pathlen:3

Note:
参考:
OpenSSL主配置文件openssl.cnf
利用OpenSSL创建证书链并应用于IIS7
openssl系列文章:http://www.cnblogs.com/f-ck-need-u/p/7048359.html

你可能感兴趣的:(openssl——自签名根证书、签名客户端和服务器证书)