日期:2014-05-17 浏览次数:20888 次
openssl应用--创建个人CA
首先安装openssl-0.9.7,安装成功以后,为了方便执行openssl指令,将openssl路径加入PATH中
$OPENSSL_HOME\out32dll\release加入PATH
使用openssl创建CA
1.生成目录树
CA认证中心需要下列相关目录,请手动建立下列目录。
CARoot
|__certs
|__newcerts
|__private
|__crl
2.生成随机数文件
在private目录下生成随机数文件.rnd,(可将一个文件内容拷贝.rnd,如将一exe文件拷贝成.rnd)。
3.生成文本数据库文件
CARoot根目录下手动创建一个空的文本数据库文件index.txt。
4.生成证书序列号文件
在CARoot下创建证书序列号文件serial,使用文本编辑器打开,在文件中输入"01";(文件内容无银号),或者使用命令$echo 01>serial (注意确认serial文件内容为01,并且无引号)。
5.产生CA私钥
genrsa -out private\ca.key -rand private\.rnd 2048
genrsa -out private\ca.key -rand private\.rnd -des3 2048 (生成des3加密的私钥文件)
生成2048位的私钥文件,为保障安全使用第二种,用des3加密。
其他相关命令
rsa -noout -text -in ca.key //查看私钥
rsa -in ca.key -out ca.key.unsecure //生成一个不需要口令保护的私钥,不推荐
6.修改配置文件
将$OPENSSL_HOME下的apps\openssl.cnf拷贝到CARoot目录下,然后修改CA的配置文件
修改openssl.cnf文件
将下面部分修改:
[ CA_default ]
dir?? = ./demoCA?? # Where everything is kept
certs?? = $dir/certs?? # Where the issued certs are kept
crl_dir?? = $dir/crl?? # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts?? # default place for new certs.
certificate = $dir/cacert.pem # The CA certificate
serial?? = $dir/serial ?? # The current serial number
crl?? = $dir/crl.pem ?? # The current CRL
private_key = $dir/private/cakey.pem# The private key
RANDFILE = $dir/private/.rand # private random number file
修改后
RANDFILE?? = $ENV::HOME/private/.rnd
(修改默认的随机数文件的位置)
[ CA_default ]
dir?? = ./?? # Where everything is kept
certs?? = $dir/certs?? # Where the issued certs are kept
crl_dir?? = $dir/crl?? # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts?? # default place for new certs.
certificate = $dir/private/ca.crt # The CA certificate
serial?? = $dir/serial ?? # The current serial number
crl?? = $dir/crl.cer?? # The current CRL
private_key = $dir/private/ca.key# The private key
RANDFILE = $dir/private/.rnd # private random number file
7.生成CA证书
req -new -x509 -days 3650 -key private\ca.key -out private\ca.crt -config openssl.cnf
(查看证书文件:x509 -in cacert.pem -text -noout)
8.创建CA的自签名证书
genrsa -out certs\cert.key -rand private\.rnd -des3 2048
(查看私钥文件rsa -in cert.key -noout -text)
req -new -x509 -days 3650 -key certs\cert.key -out certs\cert.crt -config openssl.cnf
ca -ss_cert certs\cert.crt -config openssl.cnf -policy policy_anything -out certs\signedcert.crt
选项ss_cert 表明是自签名证书
证书格式说明:
windows不能识别pem文件格式,能够识别crt文件,单纯的将后缀名改变,windows也是不能识别的,
打开签名后的证书(pem文件格式,尽管后缀名为crt),保留BEGIN CERTIFICATE and the END CERTIFICATE之间的内容,删除其他内容,windows就能够识别了。
(windows的证书crt格式就是
-----BEGIN CERTIFICATE-----
证书内容
-----END CERTIFICATE-----
将PEM证书装换成DER证书
$ openssl x509 -in tom.crt -out cert.der -outform DER
如果创建证书失败,失败后重做的方法:
serial文件中删除证书序列号
index.txt数据库文件中删除该证书的条目
重新创建证书就可以了
===================================================================
生成其他用户证书
1、生成证书请求
OpenSSL> req -newkey rsa:1024 -keyout testkey.pem -out testreq.pem -rand private\.rnd -config openssl.cnf
(查看证书请求:req -in testreq.pem -text -noout)