生成SSL证书

五 22 五月 2015

最近在忙活公司的事情,所以博客更新少了,但还是尽量有时间把自己平时的一些笔记整理记录下来。这里之所以把SSL证书的创建过程记录一下,至于用处嘛,是打算自己写一个iOS的内网Daily Build和分发。闲话不表,我们来看具体的步骤。

准备工作

首先,先创建一个文件夹,我们这里取名叫demoCA,然后参考openssl.cfg/openssl.cnf文件,不确定为啥命名是这样儿的,可以打开openssl.cnf看看内容就清楚了,按照自己的需要设置证书要用的目的之类的,当然,这里我们无需自己设置,可以直接使用默认的。然后我们在demoCA目录下,分别创建certs、newcerts文件夹,并且创建一个空白的index.txt文件和一个serial文件,在serial文件中填充任意的16进制数字,如0000,准备工作,基本到这里就结束了,接下来我们开始正式生成SSL证书。

开始生成SSL证书
1. 首先,生成服务器端的私钥(key文件):
$openssl genrsa -des3 -out server.key 1024

之后会提示输入密码,这个密码是用于加密这个key文件的,其中参数des3是加密的算法,也可以选择其它的例如aes算法。

如图:

img

以后每次需要读取该key文件时都要输入密码,如果觉得太麻烦也可以直接去掉,去掉key文件口令的命令是:

$openssl rsa -in server.key -out server.key
2. 按照我们的配置文件,生成证书签名请求文件,即CSR文件(Certificate Signing Request),生成的CSR文件交给CA签名形成服务端自己的证书,命令如下:
$openssl req -new -key server.key -out server.csr -config openssl.cnf

填写如图所示的基本信息:

img

3. 对客户端也作同样的命令,生成key和CSR文件
$openssl genrsa -des3 -out client.key 1024

$openssl req -new -key client.key -out client.csr -config openssl.cnf

参考服务端的生成方法,填写信息即可。

4. CSR文件必须有CA的签名才可以生成证书,这里我们直接自己做CA。

在当前目录下执行如下命令:

$openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

之后会看到在SelfCA目录下生成了一个ca.key和ca.crt文件

5. 用刚生成的CA证书为server.csr,client.csr文件签名:
$Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

$Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

之后,我们应该就已经创建了可以使用的证书了,如果在签名的过程中有任何错误,可以先看一下index.txt文件中的信息,然后清空它,重新执行第5步中失败的操作。

Category: Server Develop

comments

Page 1 of 1