发布网友 发布时间:2022-04-22 01:36
共2个回答
懂视网 时间:2022-05-04 16:12
由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下: 最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。 @echo off@rem set OPENSSL_HOME=d: oolsOpenSSL-Win32set PATH=%OPENSSL_HOME%
由于实验需要,需要手动制作CA证书以及客户端和服务器端证书,总结如下:
最近两天,查阅了一些关于创建证书的资料,发现网上很多介绍并不是很完整,不具有完全的可操作性。
创建证书,我目前知道的大概这么几种:
1.keytool
不能创建CA证书
2.Sybase ASA自带的createcert.exe
好像不能创建PKCS12型证书
3.OpenSSL
功能最强大。
所以,这里干脆只介绍OpenSSL了。
安装完OpenSSL-Win32到d: ools之后,修改配置文件d: oolsOpenSSL-Win32inopenssl.cfg
找到:
[ CA_default ]
dir = $ENV::OPENSSL_HOME/CA # Where everything is kept
这里原来值是./demoCA
还是用绝对路径比较好。就放到d: oolsOpenSSL-Win32CA目录下。
紧接着,做一些准备工作,创建一些子目录,准备创建证书,
完全的批处理命令如下:
@echo off @rem set OPENSSL_HOME=d: oolsOpenSSL-Win32 set PATH=%OPENSSL_HOME%in;%PATH% mkdir %OPENSSL_HOME%CA cd /d %OPENSSL_HOME%CA echo "create subdir certs" mkdir certs mkdir newcerts mkdir private mkdir crl echo "create file: index and serial" echo 0>index.txt echo 01>serial echo "create rand file" openssl rand -out private/.rand 1000 @rem echo %random% >> private/.rand @echo off set PATH=d: oolsOpenssl-Win32in;%PATH% echo create private key for rootca @rem the password, set it as 123456 openssl genrsa -aes256 -out private/ca.key.pem 2048 echo generate root ca request openssl req -new -key private/ca.key.pem -out private/ca.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=*.sql9.com" echo create root ca cert openssl x509 -req -days 10000 -sha1 -extensions v3_ca -signkey private/ca.key.pem -in private/ca.csr -out certs/ca.cer echo convert the cert from cer into PKCS12 openssl pkcs12 -export -clcerts -in certs/ca.cer -inkey private/ca.key.pem -out certs/ca.p12 echo use keytool can query the pkcs12 cert status keytool -list -keystore certs/ca.p12 -storetype pkcs12 -v -storepass 123456 echo create server ca openssl genrsa -aes256 -out private/server.key.pem 2048 openssl req -new -key private/server.key.pem -out private/server.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.sql9.com" openssl x509 -req -days 3650 -sha1 -extensions v3_req -CA certs/ca.cer -CAkey private/ca.key.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.cer openssl pkcs12 -export -clcerts -inkey private/server.key.pem -in certs/server.cer -out certs/server.p12 echo create client ca openssl genrsa -aes256 -out private/client.key.pem 2048 openssl req -new -key private/client.key.pem -out private/client.csr -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=sql9" openssl ca -days 3650 -in private/client.csr -out certs/client.cer -cert certs/ca.cer -keyfile private/ca.key.pem openssl pkcs12 -export -clcerts -inkey private/client.key.pem -in certs/client.cer -out certs/client.p12 cp -r certs certs.new
热心网友 时间:2022-05-04 13:20
2.生成RootCA私钥与证书:2.1先生成RootCA私钥--》使用私钥生成CSR--》生成自签名根证书。用来给二级CA证书签名。3.生成二级CA私钥与证书:(假如有两个二级CA,分别负责管理服务器端和客户端证书)3.1先生成ServerCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给服务器证书签名。3.2先生成ClientCA私钥--》使用私钥生成CSR--》使用根证书签名生成二级证书。用来给客户端证书签名。4.生成服务器端与客户端的私钥与证书:4.1先生成ServerA私钥--》使用私钥生成CSR--》使用ServerCA证书签名生成*证书。4.2先生成ClientA私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成*证书。4.3先生成ClientB私钥--》使用私钥生成CSR--》使用ClientCA证书签名生成*证书。。。。可以生成N个客户端证书证书结构:RootCA||-------ServerCA||||--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------|5.导出RootCA的根证书、服务器端和客户端的私钥和证书。导出时都使用pem格式。RootCA.pem-------根证书(PEM)ServerA.pem------服务器端证书(PEMwithCertificatechain)ClientA.pem------客户端证书(PEMwithCertificatechain)ClientB.pem------客户端证书(PEMwithCertificatechain)ServerAKey.pem------服务器端私钥(PEM)ClientAKey.pem------客户端私钥(PEM)ClientBKey.pem------客户端私钥(PEM)6.下面是最重要的一步:生成需要使用的JKS文件。keytool工具不能导入私钥,需要利用到weblogic提供的一个工具,需要把weblogic.jar加到CLASSPATH。6.1生成服务器和客户端的信任证书库:keytool-import-aliasrootca-fileRootCA.pem-keystoretrust.jks6.2生成服务器端身份密钥库:javautils.ImportPrivateKey-keystoreservera.jks-storepass123456-storetypeJKS-keypass123456-aliasservera-certfileServerA.pem-keyfileServerAKey.pem6.3生成客户端身份密钥库:javautils.ImportPrivateKey-keystoreclienta.jks-storepass123456-storetypeJKS-keypass123456-aliasclienta-certfileClientA.pem-keyfileClientAKey.pem生成其他客户端身份密钥库7.keytool-list-v-keystoreclienta.jks(servera.jks)可以查看其中的证书链关系。