OpenSSL--Window生成证书实战
為什么80%的碼農都做不了架構師?>>> ??
? ? ? ? ? ? ? ? ? ?Windows下使用OpenSSL生成自簽證書(親測)
? ? ?????一,前言
????????? ? ????經常寫博客的小伙伴兒都知道,大家一般在前言里面會提到為什么寫這篇博客,而我這篇博客
????????主要是探討OpenSSL自簽名證書,用于對安全性要求比較高的商業活動。。
? ??????二,探討前景:
????????????????生成一對 RSA 鑰匙,公鑰采用 X。509 進行加密,私鑰采用 PKCS8 進行加密, 字節長度為
????????1024
? ? ????三,準備工作
????????????????1,下載 OpenSSL 在 window 7 下的安裝包,可以從我網盤下載,如果下載地址失效了,
????????大家有需要可以給我留言,我非常相信大家的找資源能力,但是我怕大家下載版本有問題后,
????????按照我的方法不行,我怕被打!哈哈?https://yun.baidu.com/s/1gfPmtdL
??????????? ????2,下載 OpenSSL 執行命令時需要提供的配置文,
????????????????參考我的網盤?https://yun.baidu.com/s/1bo0bHMn
? ? ????四,開戰
????????????????1,執行 OpenSSL 的安裝程序,例如我安裝在?D:\MySoftware\OpenSSL-Win64
????????????????2,設置環境變量
????????????????????????OPENSSL_HOME =?D:\MySoftware\OpenSSL-Win64
????????????????????????(注意:這里你需要把地址替換你安裝文件夾)
??????????????????????Path = Path + ; + % + OPENSSL_HOME + % + \bin + ;
????????????????????????(在配環境變量時一定要注意最后一個 ; )
????????????????3,創建一個你將用來創建證書的目錄,例如我的是?F:\Test
????????????????4,文件和目錄補齊(如果不補齊在自簽證書時會報找不到文件的錯)
?????????????????????在你創建證書的目錄下,手動創建如下文件(文件作用附加在文件名后面)
??????????????????????index.txt ?OpenSSL在創建自簽證書時會向該文件里寫下索引
????????????????????? database.txt ?OpenSSL會模擬數據庫將一些敏感信息寫在該文件里
???????????????????? ?serial.txt ?創建該文件后,請編輯在第一行寫下 01
????????????????????? certs 文件夾,目前沒什么用,僅僅只是我配置文件這樣寫
???????????????? ?????注意: 這里提到的所有文件必須補齊,并且文件名不得更改 !
????????????????????? 將下載下來的 openssl.conf 文件拷貝到改目錄下
????????????????5,生成證書開始(在此過程中,我們假設自己就是專業的頒發證書的機構 CA)
????????????????????a,生成 CA 根證書,做簽名使用的,因為我們是自己給自己簽名嘛!
????????????????????????? ? 生成?CA?根證書私鑰
?????????????????????????????????? genrsa? ? 表示采用RSA算法生成根證書私鑰
????????????????????????????????? ?-des3? ? ??表示使用3DES給根證書私鑰加密
????????????????????????????????? ?1024????? ?表示根證書私鑰的長度,建議使用2048,越長越安全
???????????????????? ? ? ??openssl genrsa -des3 -out root.key 1024
????????????????????這個時候會讓你輸入兩次根證書的密碼,根證書嘛肯定是要保密的
????????????????????
? ? ? ? ? ? ? ??????b-1,生成根證書簽名請求文件 .csr,如果你的根證書需要別的簽名機構來簽名,
????????你就拿這個簽名請求文件給他,讓他們幫你簽名,簽名完后,他們會返回你一個 .crt 的證書,
????????如果你是這樣的做的,那你可以跳過 接下來的 c 步驟
????????????????? ? ?? ? openssl req -new ?-key root.key -out root.csr
????????????????????? ? ?-key? ? 這里需要指向我們上一步生成根證書私鑰
????????????????????? ? -out? ? 這里就會生成我們的根證書簽名請求文件
?????????????????????c-1,生成 CA 的自簽證書(如果我們自己扮演CA這個角色,那么簽名請求文件就是我
????????們上步產生的 root.csr)
? ? ? ? ? ? ? ? ? ??openssl req -new -x509 -key root.csr?-out root.crt -days 365 -config ../openssl.conf
????????????????????
?????????????????????這個時候會讓你輸入一些組織信息,請記住,你現在輸入的信息和你接下來要簽名的信息一致
????????????????????
????????? ? ????????c-2,我們也可以直接使用?CA?根證書私鑰來獲得自簽名的CA根證書
????????????????????openssl req -new -x509 -key root.key?-out root.crt -days 365 -config ../openssl.conf
? ? ? ? ? ? ????????d,同樣的道理生成服務器端私鑰
????????????????????openssl genrsa -out server.key 1024
????????????????????
???????????????????e,生成服務器端簽名請求文件
? ? ? ? ? ? ? ? ? ?openssl req -new -key server.key -out server.csr -config openssl.conf
????????????????????
????????????????????同樣會讓你輸入一個組織信息,記得跟根證書一致
? ? ? ? ? ?????????f,利用 CA 進行簽名證書
????????????????? openssl ca -in server.csr -out server.crt -keyfile root.key -cert root.crt -days 365
????????????-config openssl.conf
????????????????? 到底我們的證書生成完成!但是有些格式不是我們需要的,請看接下倆格式轉換
????? ?????6,常用格式轉換
? ? ? ? ? ?????????a,得到 pfx 格式的私鑰,密鑰算法為 pkcs12
???????????????? ??openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
? ? ? ? ? ? ? ?????b,從pfx文件中分離出 cer 格式的公鑰
???????????????????openssl x509 -inform pem -in server.crt -outform der -out server_public.cer
????????五,總結
??????????????留下文章讓自己有個參考,歡迎大家一起交流! QQ : 690649714
? ? ? ? ? ? ?如果在使用過程中出現任何問題,可以參考我的博客同目錄下 OpenSSL 常見問題
????????????????????
????????????????
轉載于:https://my.oschina.net/fajar/blog/425478
總結
以上是生活随笔為你收集整理的OpenSSL--Window生成证书实战的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: c/c++ code JSON
- 下一篇: iOS-Runtime知识点整理