如何使用OpenSSL创建证书

发布网友 发布时间:2022-04-22 01:36

我来回答

2个回答

懂视网 时间:2022-05-04 16:12

由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下: 最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。 @echo off@rem set OPENSSL_HOME=d: oolsOpenSSL-Win32set PATH=%OPENSSL_HOME%

由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下:

最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。
创建证书,我目前知道的大概这么几种:
1.keytool
不能创建CA证书
2.Sybase ASA自带的createcert.exe
好像不能创建PKCS12型证书
3.OpenSSL
功能最强大。
所以,这里干脆只介绍OpenSSL了。


安装完OpenSSL-Win32到d: ools之后,修改配置文件d: oolsOpenSSL-Win32inopenssl.cfg
找到:
[ CA_default ]
dir = $ENV::OPENSSL_HOME/CA # Where everything is kept
这里原来值是./demoCA
还是用绝对路径比较好。就放到d: oolsOpenSSL-Win32CA目录下。
紧接着,做一些准备工作,创建一些子目录,准备创建证书,
完全的批处理命令如下:

@echo off
@rem set OPENSSL_HOME=d:	oolsOpenSSL-Win32
set PATH=%OPENSSL_HOME%in;%PATH%
mkdir %OPENSSL_HOME%CA
cd /d %OPENSSL_HOME%CA
echo "create subdir certs"
mkdir certs
mkdir newcerts
mkdir private
mkdir crl
echo "create file: index and serial"
echo 0>index.txt
echo 01>serial
echo "create rand file"
openssl rand -out private/.rand 1000
@rem echo %random% >> private/.rand
@echo off
set PATH=d:	oolsOpenssl-Win32in;%PATH%
echo create private key for rootca
@rem the password, set it as 123456
openssl genrsa -aes256 -out private/ca.key.pem 2048
echo generate root ca request
openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=*.sql9.com"
echo create root ca cert
openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer
echo convert the cert from cer into PKCS12
openssl pkcs12 -export -clcerts -in certs/ca.cer -inkey private/ca.key.pem -out certs/ca.p12
echo use keytool can query the pkcs12 cert status
keytool -list -keystore certs/ca.p12 -storetype pkcs12 -v -storepass 123456
echo create server ca
openssl genrsa -aes256 -out private/server.key.pem 2048
openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.sql9.com"
openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.cer
openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12
echo create client ca
openssl genrsa -aes256 -out private/client.key.pem 2048
openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=sql9"
openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem
openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12
cp -r certs certs.new



最终certs.new目录将包含我们想要的所有证书。


热心网友 时间:2022-05-04 13:20

2.生成RootCA私钥与证书:2.1先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。3.生成二级CA私钥与证书:(假如有两个二级CA,分别负责管理服务器端和客户端证书)3.1先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。3.2先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。4.生成服务器端与客户端的私钥与证书:4.1先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成*证书。4.2先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成*证书。4.3先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成*证书。。。。可以生成N个客户端证书证书结构:RootCA||-------ServerCA||||--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------|5.导出RootCA的根证书、服务器端和客户端的私钥和证书。导出时都使用pem格式。RootCA.pem-------根证书(PEM)ServerA.pem------服务器端证书(PEMwithCertificatechain)ClientA.pem------客户端证书(PEMwithCertificatechain)ClientB.pem------客户端证书(PEMwithCertificatechain)ServerAKey.pem------服务器端私钥(PEM)ClientAKey.pem------客户端私钥(PEM)ClientBKey.pem------客户端私钥(PEM)6.下面是最重要的一步:生成需要使用的JKS文件。keytool工具不能导入私钥,需要利用到weblogic提供的一个工具,需要把weblogic.jar加到CLASSPATH。6.1生成服务器和客户端的信任证书库:keytool-import-aliasrootca-fileRootCA.pem-keystoretrust.jks6.2生成服务器端身份密钥库:javautils.ImportPrivateKey-keystoreservera.jks-storepass123456-storetypeJKS-keypass123456-aliasservera-certfileServerA.pem-keyfileServerAKey.pem6.3生成客户端身份密钥库:javautils.ImportPrivateKey-keystoreclienta.jks-storepass123456-storetypeJKS-keypass123456-aliasclienta-certfileClientA.pem-keyfileClientAKey.pem生成其他客户端身份密钥库7.keytool-list-v-keystoreclienta.jks(servera.jks)可以查看其中的证书链关系。

声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com