SSL双向认证-自签CA证书生成

SSL双向认证需要CA证书,开发过程可以利用自签CA证书进行调试验证。

1.生成服务器端私钥和公钥


# 生成服务器端私钥
openssl genrsa -out server.key 2048
# 生成服务器端公钥
openssl rsa -in server.key -pubout -out server.pem

2.生成客户端私钥和公钥


# 生成客户端私钥
openssl genrsa -out client.key 2048
# 生成客户端公钥
openssl rsa -in client.key -pubout -out client.pem

3.生成CA机构密钥


# 生成 CA 私钥
openssl genrsa -out ca.key 2048
# X.509证书签署请求管理。
openssl req -new -key ca.key -out ca.csr
# X.509证书数据管理。
openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt -days 3650

执行命令后需要输入颁发者的信息,即CA机构的信息:

Country Name (2 letter code) [XX]:国家简拼,比如cn
State or Province Name (full name) []:省份拼音,比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音,比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音,比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音,比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip,比如 root
Email Address []:邮箱地址,比如 [email protected]
A challenge password []:密码,比如 123456
An optional company name []:可不填,直接回车

注意这里的Common Name不要与服务器证书或客户端证书的域名相同,这里使用 root
 

4.颁发服务端证书

# 服务器端需要向 CA 机构申请签名证书
openssl req -new -key server.key -out server.csr
# 向 CA 机构申请证书,签名过程需要 CA 的证书和私钥参与,最终颁发一个带有 CA 签名的证书
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -days 3650

5.颁发客户端证书

# client 端
openssl req -new -key client.key -out client.csr
# client 端到 CA 签名
openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in client.csr -out client.crt -days 3650

执行命令后需要输入使用者的信息:

Country Name (2 letter code) [XX]:国家简拼,比如cn
State or Province Name (full name) []:省份拼音,比如 guangdong
Locality Name (eg, city) [Default City]:地市拼音,比如 guangzhou
Organization Name (eg, company) [Default Company Ltd]:公司名称拼音,比如 test
Organizational Unit Name (eg, section) []:所在公司的部门拼音,比如 yanfa
Common Name (eg, your name or your server's hostname) []:域名或者ip,比如 192.168.14.131
Email Address []:邮箱地址,比如 [email protected]
A challenge password []:密码,比如 123456
An optional company name []:可不填,直接回车

6.生成pkcs12格式证书

#生成pkcs12服务器证书 server.p12,设置密码为123456
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12 -name server -CAfile ca.crt -caname ca

#生成pkcs12客户端证书 client.p12,设置密码为123456
openssl pkcs12 -export -in client.crt -inkey client.key -out client.p12 -name client -CAfile ca.crt -caname ca

#服务器端,将客户端证书导入为受信任的证书
keytool -import -trustcacerts -file client.crt -alias client -storepass 123456 -keystore client.jks

感谢原文作者,点击查看原文

你可能感兴趣的:(WEB,Java,linux,ssl,双向认证)