想使用openssl生成一个证书用于加密连接, 但第一次, 经验不足, 查阅数多资料皆不成功。
找到一篇可以解决问题好文章:
http://www.howtoforge.com/faq/2_18_en.html
第一步, 生成private.key文件(私钥?猜测)
$ openssl genrsa -des3 -passout pass:test -out private.key 1024
输出结果:
Generating RSA private key, 1024 bit long modulus
............................++++++
..++++++
e is 65537 (0x10001)
第二步, 生成server.csr文件(CA?猜测)
$ openssl req -new -passin pass:test -passout pass:test1 -key private.key -out server.csr -days 365
输出结果:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:CN <-- 提示输入国家代码
State or Province Name (full name) [Berkshire]:Beijing <-- 提示输入省份
Locality Name (eg, city) [Newbury]:Beijing <-- 提示输入城市
Organization Name (eg, company) [My Company Ltd]:Groupon.cn <-- 提示输入组织
Organizational Unit Name (eg, section) []:com <-- 提示输入(?,英文不行)
Common Name (eg, your name or your server's hostname) []:www.groupon.cn <-- 提示输入服务器
Email Address []:info@groupon.cn <-- 提示输入联系人
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:groupon <-- 提示输入密码
An optional company name []:Groupon.cn <-- 提示输入公司名
第三步, 生成server.crt文件(cert,搞不清)
$ openssl req -x509 -passin pass:test -passout pass:test1 -key private.key -in server.csr -out server.crt -days 365
第四步, 生成加密后的private.key文件
$ openssl rsa -passin pass:test -in private.key -out private.key.encrypted
$ chmod 400 private.key.encrypted # 保险
测试服务器监听:
$ openssl s_server -cert server.crt -key private.key.encrypted -www
输出结果:
Using default temp DH parameters
ACCEPT
开始监听了。
测试客户端请求:
$ openssl s_client -cert server.crt -key private.key
输出结果:
Enter pass phrase for private.key: <-- 提示输入密码
CONNECTED(00000003)
depth=0 /C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
verify return:1
---
Certificate chain
0 s:/C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
i:/C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
issuer=/C=CN/ST=Beijing/L=Beijing/O=Groupon.cn/OU=com/CN=www.groupon.cn/emailAddress=info@groupon.cn
---
No client certificate CA names sent
---
SSL handshake has read 1352 bytes and written 279 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : DHE-RSA-AES256-SHA
Session-ID: D1445F79686E6FF11A6C70728C0DBA362F294EC7E87956B9D8A35DBBBA36F664
Session-ID-ctx:
Master-Key: 821049AD5B8C2DBCCB280411F72145EF699D1B3889A977BD37889CF1B806D33019538359DC6A7BEF1932C78C332F763C
Key-Arg : None
Krb5 Principal: None
Start Time: 1303571494
Timeout : 300 (sec)
Verify return code: 18 (self signed certificate)
---
分享到:
相关推荐
服务器证书的创建流程类似,首先生成服务器私钥,然后创建证书请求,最后由CA签署证书: ```shell # 生成服务器私钥 openssl genrsa -out server.key 2048 # 创建服务器证书请求 openssl req -new -key server.key...
#使用OpenSSL创建证书颁发机构和证书MichaëlBekaert ##摘要这是使用OpenSSL 0.9.5作为参考编写的。 首先,您需要OpenSSL。 编译和安装遵循通常的方法。 值得注意的是,默认值将所有内容安装在/usr/local/ssl 。 ...
今天,我们将详细介绍如何使用openSSL生成证书以及在tomcat下的配置。 一、生成服务器端私钥 在生成证书之前,我们首先需要生成服务器端的私钥。使用openSSL命令生成私钥: `openssl genrsa -des3 -out server....
使用 OpenSSL 创建证书签名请求文件,命令为:`openssl req -new -key rsa.key -out rsa.csr` 4.3 生成自签名证书 使用 OpenSSL 生成自签名证书,命令为:`openssl x509 -req -days 365 -in rsa.csr -signkey rsa....
2. 接着,创建证书签名请求(Certificate Signing Request, CSR),使用`openssl req`命令: ``` openssl req -new -key server.key -out server.csr ``` 提供必要的信息,如组织名、地理位置等,生成CSR文件。 ...
**OpenSSL创建证书** 1. **安装OpenSSL**:虽然在描述中提到无需再下载和配置OpenSSL环境,但在实际操作中,你需要先下载适用于Windows的OpenSSL版本并安装。可以从官方网站或者其他可信源获取安装包。 2. **生成...
2. **生成证书签名请求(CSR)**:使用`openssl req`命令创建CSR,其中包含了公开信息,如组织名、国家等。例如,`openssl req -new -key private.key -out csr.pem`。 3. **签署CSR**:使用`openssl x509`命令签署...
在这个"Openssl证书创建脚本"中,我们将探讨如何使用OpenSSL工具和提供的配置文件以及脚本来创建自己的X509证书。 `myopenssl.cnf` 文件是一个配置文件,它定义了证书的各种属性,如证书的主题、有效期、公钥算法等...
1. **创建根CA证书**:使用`openssl req`命令生成私钥和自签名的根CA证书。这一步需要配置文件`openssl.cnf`,其中定义了证书的属性,如主体信息、有效期等。 2. **生成中间CA证书**:接着,我们会为中间CA生成私钥...
本文将深入讲解如何使用OpenSSL创建自己的CA(Certificate Authority)并签发证书,以及构建多级CA的实践过程。 首先,让我们了解什么是CA。CA是数字证书的颁发机构,它负责验证请求证书的实体身份,并为其签发具有...
使用OpenSSL创建测试CA证书的标准方法,OpenSSL,CA,Certificate
本教程将深入探讨如何利用开源工具openssl创建自定义的证书颁发机构(CA),并实现将CA证书安装到浏览器的受信任根证书存储区,以供自定义网络服务使用。 首先,我们需要了解openssl工具。OpenSSL是一个强大的安全...
OpenSSL证书创建工具,用于证书创建、自签名等。 仅提取了openssl.exe、必须的2个DLL以及配置文件,直接解压后即可使用。 可参考我的博客《使用OpenSSL创建自签名证书》查看使用方法。
首先,需要创建 CA 的路径 /etc/pki/CA,接着使用 openssl genrsa 命令生成 private/cakey.pem 私钥文件,并使用 openssl req 命令生成 cacert.pem 证书文件。 在生成 CA 证书时,需要配置 OpenSSL 的配置文件 /etc...
2. **创建证书请求**:使用`openssl req`命令创建证书请求文件。 3. **自签名证书**:如果不需要第三方认证,可以直接使用`openssl x509`命令生成自签名证书。 4. **证书签名请求**:如果需要第三方认证,需要将证书...
Linux 下使用 OpenSSL 制作 CA 及证书颁发是指使用 OpenSSL 工具在 Linux 平台上创建一个证书颁发机构(CA),并颁发数字证书。CA 是一个trusted第三方机构,它负责颁发和管理数字证书,以确保网络通信的安全。 ...
在widndows下,通过openSSL创建三类证书(自签名根证书,服务器证书,客户端证书)
本教程将详细讲解如何使用OpenSSL创建CA、生成公私密钥对以及证书,以及如何进行加密解密、加签验签操作。 首先,让我们了解基本概念: 1. **CA(证书颁发机构)**:它是可信的第三方机构,负责验证并签发数字证书...
当你尝试使用 OpenSSL 创建证书时,如果系统找不到这个配置文件,会报错并提示你需要提供 `openssl.cnf`。以下是对 `openssl.cnf` 文件及其相关知识点的详细解释: 1. **配置文件结构**: `openssl.cnf` 文件遵循 ...