openssl证书申请说明专业资料.doc
《openssl证书申请说明专业资料.doc》由会员分享,可在线阅读,更多相关《openssl证书申请说明专业资料.doc(21页珍藏版)》请在咨信网上搜索。
1、1. 根证书申请准备根证书准备某些空目录和文献,作用如下: certs/ 保存颁发所有证书副本 index.txt 跟踪已颁发证书,初始为空 f openssl和根证书配备文献 private/ CA证书私钥 serial 最后一次颁发证书序列号,初始值01,也可以是00等其他值 f内容如下,我一气儿弄了有效期: ca default_ca = FwolfCA FwolfCA dir = /big2/tools/cacertificate = $dir/cacert.pemdatabase = $dir/index.txtnew_certs_dir = $dir/certsprivate_ke
2、y = $dir/private/cakey.pemserial = $dir/serialdefault_crl_days= 7default_days = 3650default_md = sha1policy = FwolfCA_policyx509_extensions = certificate_extensions FwolfCA_policy commonName = suppliedstateOrProvinceName = suppliedstateOrProvinceName = suppliedcountryName = suppliedemailAddress = su
3、ppliedorganizationName= suppliedorganizationalUnitName = optional certificate_extensions basicConstraints= CA:false# 下面是根证书配备信息 req default_bits = 4096default_keyfile = /big2/tools/ca/private/cakey.pemdefault_md = sha1prompt = nodistinguished_name = root_ca_distinguished_namex509_extensions = root_c
4、a_extensions root_ca_distinguished_name commonName = Fwolf CAstateOrProvinceName = The Earth# countryName只能是两位字母countryName = CNemailAddress = #organizationName = Root Certification AuthorityorganizationName = Fwolf CA Root root_ca_extensions basicConstraints = CA:true然后生成根证书:$ openssl req -x509 -ne
5、wkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config f会提示输入密码以及确认密码。生成好后来可以验证一下(说是验证,其实就是看看内容):$ openssl x509 -in cacert.pem -text -noout给自己颁发证书$ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1按提示输入两次密码,然后输入几项证书信息,注意其中organizationName必要输入,并且Common
6、 Name要和域名一致,例如:Common Name (eg,YOUR name) :*就生成了私钥key文献和祈求req文献,然后把req文献提交给CA根证书订立(盖章):$ openssl ca -in .req.pem -config f输入根证书密码,就会在certs/目录下生成.pem证书文献,文献名以serial中序号开头,信息会存储在index.txt中。这样生成证书,在apache中配备需要两条语句,分别指定证书和私钥:SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.cert.pemSSLCertificateKeyFi
7、le /big2/tools/ca/certs/.key.pem其实这两个文献是可以合并为一种文献:$ cat .key.pem .cert.pem .pem然后在配备apache时候就只需要一句了:SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.pem其他去掉证书口令当前证书基本上就可以使用了,再返回来说一种问题,就是在启动apache时候会提示输入私钥口令,要想去掉这个(普通都不会喜欢这样),就规定在生成私钥时候不要设立口令:$ openssl req -newkey rsa:4096 -keyout .key.pem -keyfo
8、rm PEM -out .req.pem -outform PEM -sha1 -nodes生成根证书时候还是建议带上个口令,提高安全性。index.txt此外,如果要清空index.txt话,一定要清空到字节0,里面有一种字节都会导致openssl ca错误:wrong number of fields on line 1 (looking for field 6,got 1, left)证书吊销$ openssl ca -revoke .cert.pem# 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ opens
9、sl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl -in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL版本号为1,这是OpenSSL默认,除非crl_extensions被指定在配备文献ca一节中。 上传到MT主机上应用一方面在Server Certificates 中Add New Certificate,填上Add New Certificate(自己起),然后选下面Private key私钥文献和Certificate证书文献上传,就存到服务器上了。然后返回
10、证书列表,选中新上传证书前面复选框,点上面链接Make default for Web sites设立为网站默认证书,也可以通过Secure control panel将其设立为控制面板所使用证书。还没完,证书还得加到ip上才干生效,Server IP Addresses 中修改ip地址属性,在SSL Certificate中选取刚才上传证书,保存,就立即生效了。基于ssl/https合同特性,一种ip上只能使用一种证书,因此合租顾客是无法自己上传或者选取其他证书,但是我当前使用证书是签给“*”,也就是所有域名都可以使用,“好看”一点。让我不理解是,如果在访问一种域名时批准了这个证书,在访问此
11、外一种域名时候还得再批准一遍,也就是证书和域名是要配套使用,和我原先想法不太一致。4.密钥和证书管理 密钥和证书管理是PKI一种重要构成某些,OpenSSL为之提供了丰富功能,支持各种原则。 一方面,OpenSSL实现了ASN.1证书和密钥有关原则,提供了对证书、公钥、私钥、证书祈求以及CRL等数据对象DER、PEM和BASE64编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥办法、函数和应用程序,同步提供了对公钥和私钥DER编解码功能。并实现了私钥PKCS#12和PKCS#8编解码功能。OpenSSL在原则中提供了对私钥加密保护功能,使得密钥可以安全地进行存储和分发。 在此基本上
12、,OpenSSL实现了对证书X.509原则编解码、PKCS#12格式编解码以及PKCS#7编解码功能。并提供了一种文本数据库,支持证书管理功能,涉及证书密钥产生、祈求产生、证书签发、吊销和验证等功能。 事实上,OpenSSL提供CA应用程序就是一种小型证书管理中心(CA),实现了证书签发整个流程和证书管理大某些机制。 下面说说俺在实际应用中证书生成。1.初始化CA:OPENSSL req -x509 -config此处写配备文献途径和名称 -extensions此处为配备文献根证书扩展配备 -newkey rsa:此处为编码大小 -keyout此处为输出密钥文献名称 -out此处为输出根证书名
13、称 -passout pass:此处为根证书密码 -days 此处为有效期,为天数。当执行完此命令,便生成了根证书私钥和根证书。2.建立服务器证书:建立祈求:OPENSSL req-new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出祈求 -config 配备文献 -days 有效期 -nodes(输出密钥和祈求为同一文献)建立newcert:OPENSSL ca -config 配备文献 -policy 配备文献中段 -days 有效期 -outnewcert.pem文献 -passin pass:CA密钥 -batch -extensions 配备文献中
14、段 -infiles 祈求文献建立PKCS12格式证书:RANDFILE=random文献途径 OPENSSL pkcs12 -export -in newcert.pem途径 -inkey 祈求密钥文献 -certfileCA证书文献 -canameCA名称 -out 输出pfx文献 -clcerts -name commonname -passout pass:RANDFILE=random文献途径 OPENSSL pkcs12 -in pfx文献 -out 输出pem证书文献 -passin pass:-passout pass:建立DER格式证书:OPENSSL x509 -in 以上
15、建立pem证书文献 -out der证书文献 -inform PEM -outform DER3.建立顾客证书:建立祈求:OPENSSL req-new -newkey rsa:此处为密钥大小 -keyout 输出顾客私钥文献 -out 输出顾客祈求 -config配备文献 -days 有效期(天)-nodes 建立证书:OPENSSL ca-config 配备文献 -in 祈求文献 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配备文献中段建立der格式证书:OPENSSL -x509 -in 顾客
16、证书(上一步生成证书,在配备文献中指定了) -out 输出der证书 -inform PEM -outform DER 建立pfx格式证书:RANDFILE=random文献途径 OPENSSL pkcs12 -export -in 顾客证书 -inkey 顾客密钥 -certfileCApem证书文献 -canameCA组织名称 -out 输出pfx文献 -name commonname -passout pass:以上为我在应用中使用到命令,提供出来供人们参照。服务器证书与顾客证书为平级关系,只是配备文献不同,配备证书配备文献在网上诸多,这里就不赘述。openssl 某些参数:openss
17、l dhparam -inform DER|PEM -outform DER|PEM -in filename -out filename -dsaparam -noout -text -C -2 -5 -rand file(s) numbits -inform DER|PEM 指定输入格式是DEM还是DER. DER格式采用ASN1DER原则格式。普通用多都是PEM格式,就是base64编码格式.你去看看你做出来那些.key,.crt文献普通都是PEM格式,第一行和最后一行指明内容,中间就是通过编码东西。 -outform DER|PEM 和上一种差不多,不同是指定输出格式 -in file
18、name 要分析文献名称。 -out filename 要输出文献名。 -dsaparam 如果本option被set,那么无论输入还是输入都会当做DSA参数。它们再被转化成DH参数格式。这样子产生DH参数和DH key都会块诸多。会使SSL握手时间缩短。固然时间是以安全性做牺牲,因此如果这样子最佳每次使用不同参数,以免给人K破你key. -2,-5 使用哪个版本DH参数产生器。版本2是缺省。如果这俩个option有一种被set,那么将忽视输入文献。 -rand file(s) 产生key时候用过seed文献,可以把各种文献用冒号分开一起做seed. numbits 指明产生参数长度。必要是本
19、指令最后一种参数。如果没有指明,则产生512bit长参数。 -noout 不打印参数编码版本信息。 -text 将DH参数以可读方式打印出来。 -C 将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。 openssl尚有俩个指令, dh,gendh,当前都过时了,所有功能由dhparam实现。 当前dh,gendh这俩个指令还保存,但在将来也许会用做其她用途。本文将简介如何运用TomcatHTTPS功能,和一种自己创立CA,来构建WEB服务器证书和个人数字证书,最后建成一种HTTPS双向认证环境(可以用于测试目)。本文构建HTTPS双向认证业务流程大体如下:1.
20、 创立WEB服务器公钥密钥,并生成服务器证书祈求。2. 运用自建CA,依照服务器证书祈求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。3. 运用openssl生成客户端(IE)使用个人数字证书,也由同样CA签发个人证书。4. 将个人数字证书(PKCS12格式,包括密钥)导入到浏览器(IE/Firefox)后,就可以进行HTTPS测试了。一. 选取HTTPS WEB服务器这里咱们选取了Tomcat。固然尚有其他办法,如Apache+Tomcat,让Apache配备成HTTPS模式,而Tomcat只做HTTP业务解决,这样有助于提高性能,但本文只建造一种简朴HTTPS测试环境,只用T
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- openssl 证书 申请 说明 专业 资料
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。