如何用openssl命令行生成证书
2015-04-10 17:13
309 查看
如何用openssl命令行生成证书
描述如何用openssl命令行工具生成自签名证书证书介绍
开发https功能的web server必须用到签名证书,证书都是由证书签发机构签发,当然也可以自己给自己签发即自签名证书。要签发证书,首先要有一个根证书,然后用根证书来签发用户证书。
用户进行证书申请
一般先生成一个私钥文件(Key),然后用私钥生成证书签名请求(csr:certificate signing request),再用证书服务器的根证书来签发证书,生成证书文件(crt: certificate)。自签名证书
一般用于顶级证书、根证书,证书的名称和认证机构的名称相同.根证书
根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任生成证书步骤
Created with Raphaël 2.1.2CA机构CA机构用户机构用户机构对于自签名证书,CA机构和用户机构是同一家1.生成CA私钥2.生成CA证书请求3.自签名生成CA根证书4.生成用户私钥5.生成用户证书请求CSR申请证书[CSR]6.对申请证书签名得到用户证书将用户证书发给用户机构自动生成证书的批处理脚本
接下来贴上生成证书的批处理代码,该脚本自动生成自签名证书,脚本需要在openssl二进制发布包的bin目录下执行。@echo off REM 将openssl的bin目录加入PATH环境变量 set PATH=%PATH%;%~dp0 CD /D %~dp0 REM 设置环境变量 set OPENSSL_CONF=%~dp0\..\ssl\openssl.cnf ::设置变量 set SSL_CONF=%~dp0\..\ssl set CA_PWD=88888888 set SVR_PWD=123456 set CLNT_PWD=12345678 set SUBJ=/C=CN/ST=GuangDong/L=ShenZhen/O=isoft/OU=isoft-nest/CN=localhost/emailAddress=chen.kline@sohu.com REM 建立工作主目录cert-work mkdir cert-work cd cert-work REM 建立demoCA等文件夹及文件 mkdir demoCA mkdir demoCA\certs rem mkdir demoCA\crl mkdir demoCA\newcerts mkdir demoCA\private echo 01 > demoCA\serial fsutil file createnew demoCA\index.txt 0 echo 1. 生成CA的key文件和证书文件 openssl req -new -x509 -passout pass:%CA_PWD% -subj %SUBJ% -keyout demoCA\private\ca.key -out demoCA\ca.crt -days 3650 -config %SSL_CONF%\openssl.cnf echo 设置在签名更新数据DB时允许common name不唯一 echo unique_subject = no > demoCA\index.txt.attr echo 2. 生成服务器端的私钥(key文件): openssl genrsa -des3 -passout pass:%SVR_PWD% -out server.key 1024 echo 2. 生成无口令的服务器端私钥文件: openssl rsa -passin pass:%SVR_PWD% -in server.key -out server-nopwd.key echo 3. 生成服务器端的csr文件 openssl req -new -passin pass:%SVR_PWD% -subj %SUBJ% -key server.key -out server.csr -config %SSL_CONF%\openssl.cnf echo 4. 用生成的CA的证书为刚才生成的server.csr文件签名: openssl ca -batch -passin pass:%CA_PWD% -in server.csr -out server.crt -cert demoCA\ca.crt -keyfile demoCA\private\ca.key -days 3650 -config %SSL_CONF%\openssl.cnf echo 5. 生成客户端key文件: openssl genrsa -des3 -passout pass:%CLNT_PWD% -out client.key 1024 echo 5. 生成无口令的客户端私钥文件: openssl rsa -passin pass:%CLNT_PWD% -in client.key -out client-nopwd.key echo 6. 生成客户端csr文件: openssl req -new -passin pass:%CLNT_PWD% -subj %SUBJ% -key client.key -out client.csr -config %SSL_CONF%\openssl.cnf echo 7. 用生成的CA的证书为刚才生成的client.csr文件签名: openssl ca -batch -passin pass:%CA_PWD% -in client.csr -out client.crt -cert demoCA\ca.crt -keyfile demoCA\private\ca.key -days 3650 -config %SSL_CONF%\openssl.cnf cd /d %~dp0
脚本解释
首先设置OPENSSL_CONF环境变量,否则运行会报错。生成工作目录cert-work,作为生成证书的存放目录,也可以使用当前目录作为工作目录。
在工作目录下建立以下demoCA文件夹及文件:
.\demoCA
.\demoCA\newcerts
.\demoCA\private
.\demoCA\index.txt (空文件,生成证书时会将数据记录写入)
.\demoCA\serial (在serial文件中写入第一个序列号01,在生成证书时会以此递增)
接下来第一步生成CA秘钥及CA自签名证书文件,
第2-4步生成服务器端秘钥、用私钥生成证书签名请求,用CA根证书签名生成服务端证书
第5-7步类似2-4步,生成客户端用的秘钥,CSR和cert证书。
相关文章推荐
- 如何用openssl命令行生成证书
- 如何用openssl命令行生成证书
- 如何用openssl命令行生成证书
- 如何用openssl命令行生成证书
- 如何用openssl命令行生成证书
- OpenSSL生成证书详解 如何使用OpenSSL生成自签证书 转载
- 【网络安全】如何使用OpenSSL工具生成根证书与应用证书
- 用OpenSSL命令行生成证书文件
- 用OpenSSL命令行生成证书文件
- 用OpenSSL命令行生成证书文件[转]
- 实验:用OpenSSL命令行生成证书
- 用OpenSSL命令行生成证书文件
- DAY19_openssl命令行生成客户端证书+建立客户端
- openssl简单知识,命令行生成相关证书和密钥
- 用OpenSSL命令行生成证书文件
- DAY19_openssl命令行生成服务端证书+建立服务器端
- 用OpenSSL命令行生成证书文件
- 用OpenSSL命令行生成证书文件[转]
- 用OpenSSL命令行生成证书文件
- windows下用OpenSSL命令行生成证书文件