SSL双向认证-自签CA证书生成

SSL双向认证需要CA证书，开发过程可以利用自签CA证书进行调试验证。

1.生成服务器端私钥和公钥

# 生成服务器端私钥
openssl genrsa -out server.key 2048
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem

2.生成客户端私钥和公钥

# 生成客户端私钥
openssl genrsa -out client.key 2048
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

3.生成CA机构密钥

# 生成 CA 私钥
openssl genrsa -out ca.key 2048
# X.509证书签署请求管理。
openssl req -new -key ca.key -out ca.csr
# X.509证书数据管理。
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt -days 3650

执行命令后需要输入颁发者的信息，即CA机构的信息：

Country Name (2 letter code) [XX]:国家简拼，比如cn
State or Province Name (full name) []:省份拼音，比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音，比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音，比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音，比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip，比如 root
Email Address []:邮箱地址，比如 [email protected]
A challenge password []:密码，比如 123456
An optional company name []:可不填，直接回车

注意这里的Common Name不要与服务器证书或客户端证书的域名相同，这里使用 root
 

4.颁发服务端证书

# 服务器端需要向 CA 机构申请签名证书
openssl req -new -key server.key -out server.csr
# 向 CA 机构申请证书，签名过程需要 CA 的证书和私钥参与，最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -days 3650

5.颁发客户端证书

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt -days 3650

执行命令后需要输入使用者的信息：

Country Name (2 letter code) [XX]:国家简拼，比如cn
State or Province Name (full name) []:省份拼音，比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音，比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音，比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音，比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip，比如 192.168.14.131
Email Address []:邮箱地址，比如 [email protected]
A challenge password []:密码，比如 123456
An optional company name []:可不填，直接回车

6.生成pkcs12格式证书

#生成pkcs12服务器证书 server.p12，设置密码为123456
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name server -CAfile ca.crt -caname ca

#生成pkcs12客户端证书 client.p12，设置密码为123456
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name client -CAfile ca.crt -caname ca

#服务器端，将客户端证书导入为受信任的证书
keytool -import -trustcacerts -file client.crt -alias client -storepass 123456 -keystore client.jks

感谢原文作者，点击查看原文