本文基于Linux上CentOS 7版本配合openssl与mod_ssl(需要使用yum下载)进行配置演示 目录 2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书 一.生成认证主要流程1.虚拟出一个CA认证机构,为其生成公私钥以及自签证书2.生成服务器方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书3.生成客户端方私钥,发送包含服务器方公私钥的申请文件给CA机构请求签发证书4.生成证书注意:建议新建一个或多个目录用于存放密钥/认证文件 二.具体生成过程1.虚拟CA机构方生成内容(1)为CA机构生成私钥 openssl genrsa -out ca.prikey 2048 genrsa:表示生成私钥 -out:表示输出到哪个文件 2048:指定密钥长度
(2)为CA机构生成公钥 openssl rsa -in ca.prikey -pubout -out ca.pubkey rsa:表示生成公钥 -in:指定输入文件 -pubout:表示提示openssl要输出的文件为公钥文件
(3)为CA机构生成自签名证书 openssl req -new -x509 -days 3650 -key ca.prikey -out ca.cert req:表示生成请求文件 -new:表示创建一个新请求 -x509:类似证书版本号 -days:指定证书有效时间 -key:指定私钥文件
注意:提示输入信息可以直接回车,如若输入错误可以尝试使用BackSpace或者Ctrl+BackSpace进行删除 (4)查看各文件是否齐全
已生成认证文件 2.服务器方生成内容(1)为服务器生成私钥 openssl genrsa -out ser.prikey 2048
(2) 生成服务器证书申请文件 openssl req -new -key ser.prikey -out ser.csr
(3)把服务器申请文件发送给CA机构,请求签发证书 openssl x509 -req -days 3650 -in ser.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out ser.cert -CA:指定CA机构的签名证书文件 -CAkey:指定CA机构的私钥文件 -CAcreateserial:CA认证标识
(4)查看各文件是否齐全
已生成认证文件 3.客户端方生成内容(1)为客户端生成私钥 openssl genrsa -out cli.prikey 2048
(2)生成客户端证书申请文件 openssl req -new -key cli.prikey -out cli.csr
(3)把客户端申请文件发送给CA机构,请求签发证书 openssl x509 -req -days 3650 -in cli.csr -CA ca.cert -CAkey ca.prikey -CAcreateserial -out cli..cert
(4)查看各文件是否齐全
已生成认证文件 |
|
来自: 丰收书屋 > 《https通讯加密解密》