一:生成CA证书
目前不使用第三方权威机构的CA来认证,自己充当CA的角色。
先决条件:从openssl官网下载www.openssl.org
安装openssl[windows和linux安装不同]
开始生成证书和密钥
如果没有配置环境变量,则需要进入openssl的bin目录下执行命令,如:C:/OpenSSL/bin
若只配置了环境变量,则在任意位置都可以执行
在执行命令前,新建两个目录ca和server
1. 创建私钥 :
C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024
2.创建证书请求 :
C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:root
Email Address []:sky
3.自签署证书 :
C:/OpenSSL/bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
4.将证书导出成浏览器支持的.p12格式 : (不需要可以省略)
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
密码:changeit
二.生成server证书。
1.创建私钥 :
C:/OpenSSL/bin>openssl genrsa -out server/server-key.pem 1024
2.创建证书请求 :
C:/OpenSSL/bin>openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:192.168.1.246 注释:一定要写服务器所在的ip地址
Email Address []:sky
3.自签署证书 :
C:/OpenSSL/bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
密码:changeit
三.生成client证书。
1.创建私钥 :
C:/OpenSSL/bin>openssl genrsa -out client/client-key.pem 1024
2.创建证书请求 :
C:/OpenSSL/bin>openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:sky
Email Address []:sky 注释:就是登入中心的用户(本来用户名应该是Common Name,但是中山公安的不知道为什么使用的Email Address,其他版本没有测试)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:tsing
3.自签署证书 :
C:/OpenSSL/bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.将证书导出成浏览器支持的.p12格式 :
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
密码:changeit
四.根据ca证书生成jks文件
C:/Java/jdk1.5.0_09/bin > keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem
五.配置tomcat ssl
修改conf/server.xml。tomcat6中多了SSLEnabled="true"属性。keystorefile, truststorefile设置为你正确的相关路径
xml 代码
tomcat 5.5的配置:
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />
tomcat6.0的配置:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>
六.导入证书
将ca.p12,client.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。
ca.p12导入至受信任的根证书颁发机构,client.p12导入至个人
转自CSDN
分享到:
相关推荐
以下是使用OpenSSL自制SSL证书的步骤: 1. 安装OpenSSL:首先确保你的系统中已经安装了OpenSSL。如果未安装,可以通过相应的软件包管理器(如Ubuntu的`apt-get`或Windows的Chocolatey)进行安装。 2. 创建私钥:...
然而,要注意的是,虽然自制CA证书在本地环境或测试环境中很有用,但在生产环境中,应尽可能使用由公众信任的CA签发的证书,以确保全球用户都能无阻碍地信任你的网站或服务。此外,自行签发的证书如果被恶意利用,...
OpenSSL制作根CA证书操作步骤,参照文档具体操作步骤。
基于OpenSSL的SM2软实现库及测试程序
bcprov-ext-jdk15on-1.54,openssl自制证书转换工具,Android Https证书文件转BKS格式工具,使用详情请查看https://blog.csdn.net/MirkoWug/article/details/128673355
### Windows和Linux下自制证书进行验证测试 #### 一、概述 在开发过程中,为了确保通信的安全性,经常需要使用SSL/TLS证书来加密数据传输。对于开发环境来说,使用自签名证书是一种常见且经济的做法。本文档将详细...
描述中提到的“java实现的一个使用openssl生成crt证书的小工具”,意味着该程序利用Java编程语言调用OpenSSL库来创建证书。OpenSSL是一个强大的安全套接字层密码库,包含了各种主要的密码算法、常用的密钥和证书封装...
PFX(Personal Information Exchange)证书,也称为PKCS#12文件,是一种包含公钥、私钥以及相关证书链的加密文件格式。它常用于存储个人身份信息,如用户的数字证书和私钥,以便于安全传输或备份。下面是一个详细的...
该脚本简化了使用OpenSSL的证书颁发机构,签名请求和自签名TLS证书的创建。 安装 自制软件(MacOS) brew tap lstellway/formulae brew install lstellway/formulae/self-signed-ssl 卷曲 curl --output self-...
- **自制证书和密钥(测试)** - **自制服务端的证书和密钥**:在测试环境中,你可以自行创建服务端的证书和密钥,这通常通过OpenSSL等工具完成,生成PEM格式的公钥和私钥文件。 - **自制客户端的证书和密钥**:...
osx-ca-certs(以前是openssl-osx-ca(和libressl-osx-ca)) 一个简单的工具和脚本,旨在由launchd(8)定期运行,以将openssl...安装通过自制软件安装: brew tap raggi/ale brew install openssl-osx-ca brew servic