a、生成服务器私钥(server.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out server.key 1024
输入加密密码(server.key.password),用128位rsa算法密钥server.key文件
该密码在部署服务器密钥时需要使用。
b、生成服务器证书请求(server.csr)
[root@localhost ssl.crt]#openssl req -new -key server.key -out server.csr
这里要求输入的CommonName必须与通过浏览器访问您网站的 URL 完全相同,否则用户会发现您服务器证书的通用名与站点的名字不匹配,用户就会怀疑您的证书的真实性。可以使域名也可以使IP地址。
c、生成服务器公钥(证书)
[root@localhost ssl.crt]#openssl ca -in server.csr -days 18250 -out server.crt -cert ca.crt -keyfile ca.key
d、查看和验证证书信息
[root@localhost ssl.crt]#openssl x509 -noout -text -in server.crt //查看证书信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt server.crt //验证证书信息
一定要保证验证通过,没有报错或警告信息。否则可能会在使用时出错。
4、制作客户端证书
a、生成服务器私钥(client.key)
[root@localhost ssl.crt]#openssl genrsa -des3 -out client.key 1024
输入加密密码(client.key.password),用128位rsa算法密钥client.key文件
该密码在部署客户端密钥时需要使用。
b、生成服务器证书请求(client.csr)
[root@localhost conf]#openssl req -new -key client.key -out client.csr
Common Name 可以随便取。
c、生成服务器公钥(证书)
[root@localhost ssl.crt]#openssl ca -in client.csr -days 18250 -out client.crt -cert ca.crt -keyfile ca.key
将证书转换成浏览器可识别的格式:
[root@conf]#openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12
需要输入Export密码,可以和Key文件密码不一样。该密码在客户端部署KEY文件时需要使用。
d、
[root@localhost ssl.crt]#openssl x509 -noout -text -in client.crt //查看证书信息
[root@localhost ssl.crt]#openssl verify -CAfile ca.crt client.crt //验证证书信息
一定要保证验证通过,没有报错或警告信息。否则可能会在使用时出错。
*******生成证书时,如果有无法更新数据库时,则清空demoCA/index.txt:
#vi index.txt
G
:1,.d
保存退出。