openssl证书申请说明专业资料.doc

资源描述

1. 根证书申请准备根证书准备某些空目录和文献，作用如下： · certs/ 保存颁发所有证书副本 · index.txt 跟踪已颁发证书，初始为空 · f openssl和根证书配备文献 · private/ CA证书私钥 · serial 最后一次颁发证书序列号，初始值01，也可以是00等其他值 f内容如下，我一气儿弄了有效期： [ ca ] default_ca = FwolfCA [ FwolfCA ] dir = /big2/tools/ca certificate = $dir/cacert.pem database = $dir/index.txt new_certs_dir = $dir/certs private_key = $dir/private/cakey.pem serial = $dir/serial default_crl_days= 7 default_days = 3650 default_md = sha1 policy = FwolfCA_policy x509_extensions = certificate_extensions [ FwolfCA_policy ] commonName = supplied stateOrProvinceName = supplied stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName= supplied organizationalUnitName = optional [ certificate_extensions ] basicConstraints= CA:false # 下面是根证书配备信息 [ req ] default_bits = 4096 default_keyfile = /big2/tools/ca/private/cakey.pem default_md = sha1 prompt = no distinguished_name = root_ca_distinguished_name x509_extensions = root_ca_extensions [ root_ca_distinguished_name ] commonName = Fwolf CA stateOrProvinceName = The Earth # countryName只能是两位字母 countryName = CN emailAddress = #organizationName = Root Certification Authority organizationName = Fwolf CA Root [ root_ca_extensions ] basicConstraints = CA:true 然后生成根证书： $ openssl req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config f 会提示输入密码以及确认密码。生成好后来可以验证一下（说是验证，其实就是看看内容）： $ openssl x509 -in cacert.pem -text -noout 给自己颁发证书 $ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 按提示输入两次密码，然后输入几项证书信息，注意其中organizationName必要输入，并且Common Name要和域名一致，例如： Common Name (eg，YOUR name) []:* 就生成了私钥key文献和祈求req文献，然后把req文献提交给CA根证书订立（盖章）： $ openssl ca -in .req.pem -config f 输入根证书密码，就会在certs/目录下生成.pem证书文献，文献名以serial中序号开头，信息会存储在index.txt中。这样生成证书，在apache中配备需要两条语句，分别指定证书和私钥： SSLEngine On SSLCertificateFile /big2/tools/ca/certs/.cert.pem SSLCertificateKeyFile /big2/tools/ca/certs/.key.pem 其实这两个文献是可以合并为一种文献： $ cat .key.pem .cert.pem > .pem 然后在配备apache时候就只需要一句了： SSLEngine On SSLCertificateFile /big2/tools/ca/certs/.pem 其他去掉证书口令当前证书基本上就可以使用了，再返回来说一种问题，就是在启动apache时候会提示输入私钥口令，要想去掉这个（普通都不会喜欢这样），就规定在生成私钥时候不要设立口令： $ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 -nodes 生成根证书时候还是建议带上个口令，提高安全性。 index.txt 此外，如果要清空index.txt话，一定要清空到字节0，里面有一种字节都会导致openssl ca错误： wrong number of fields on line 1 (looking for field 6，got 1，'' left) 证书吊销 $ openssl ca -revoke .cert.pem # 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl -in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL版本号为1，这是OpenSSL默认，除非crl_extensions被指定在配备文献ca一节中。上传到MT主机上应用一方面在Server > Certificates >中Add New Certificate，填上Add New Certificate（自己起），然后选下面Private key私钥文献和Certificate证书文献上传，就存到服务器上了。然后返回证书列表，选中新上传证书前面复选框，点上面链接Make default for Web sites设立为网站默认证书，也可以通过Secure control panel将其设立为控制面板所使用证书。还没完，证书还得加到ip上才干生效，Server > IP Addresses >中修改ip地址属性，在SSL Certificate中选取刚才上传证书，保存，就立即生效了。基于ssl/https合同特性，一种ip上只能使用一种证书，因此合租顾客是无法自己上传或者选取其他证书，但是我当前使用证书是签给“*”，也就是所有域名都可以使用，“好看”一点。让我不理解是，如果在访问一种域名时批准了这个证书，在访问此外一种域名时候还得再批准一遍，也就是证书和域名是要配套使用，和我原先想法不太一致。 4.密钥和证书管理密钥和证书管理是PKI一种重要构成某些，OpenSSL为之提供了丰富功能，支持各种原则。一方面，OpenSSL实现了ASN.1证书和密钥有关原则，提供了对证书、公钥、私钥、证书祈求以及CRL等数据对象DER、PEM和BASE64编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥办法、函数和应用程序，同步提供了对公钥和私钥DER编解码功能。并实现了私钥PKCS#12和PKCS#8编解码功能。OpenSSL在原则中提供了对私钥加密保护功能，使得密钥可以安全地进行存储和分发。在此基本上，OpenSSL实现了对证书X.509原则编解码、PKCS#12格式编解码以及PKCS#7编解码功能。并提供了一种文本数据库，支持证书管理功能，涉及证书密钥产生、祈求产生、证书签发、吊销和验证等功能。事实上，OpenSSL提供CA应用程序就是一种小型证书管理中心（CA），实现了证书签发整个流程和证书管理大某些机制。下面说说俺在实际应用中证书生成。 1.初始化CA：OPENSSL req -x509 -config 此处写配备文献途径和名称 -extensions 此处为配备文献根证书扩展配备 -newkey rsa:此处为编码大小 -keyout 此处为输出密钥文献名称 -out 此处为输出根证书名称 -passout pass:此处为根证书密码 -days 此处为有效期，为天数。当执行完此命令，便生成了根证书私钥和根证书。 2.建立服务器证书：建立祈求：OPENSSL req -new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出祈求 -config 配备文献 -days 有效期 -nodes（输出密钥和祈求为同一文献）建立newcert：OPENSSL ca -config 配备文献 -policy 配备文献中段 -days 有效期 -out newcert.pem文献 -passin pass:CA密钥 -batch -extensions 配备文献中段 -infiles 祈求文献建立PKCS12格式证书：RANDFILE=random文献途径 OPENSSL pkcs12 -export -in newcert.pem途径 -inkey 祈求密钥文献 -certfile CA证书文献 -caname CA名称 -out 输出pfx文献 -clcerts -name commonname -passout pass: RANDFILE=random文献途径 OPENSSL pkcs12 -in pfx文献 -out 输出pem证书文献 -passin pass：-passout pass: 建立DER格式证书：OPENSSL x509 -in 以上建立pem证书文献 -out der证书文献 -inform PEM -outform DER 3.建立顾客证书：建立祈求：OPENSSL req -new -newkey rsa:此处为密钥大小 -keyout 输出顾客私钥文献 -out 输出顾客祈求 -config 配备文献 -days 有效期（天）-nodes 建立证书：OPENSSL ca -config 配备文献 -in 祈求文献 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配备文献中段建立der格式证书：OPENSSL -x509 -in 顾客证书（上一步生成证书，在配备文献中指定了） -out 输出der证书 -inform PEM -outform DER 建立pfx格式证书：RANDFILE=random文献途径 OPENSSL pkcs12 -export -in 顾客证书 -inkey 顾客密钥 -certfile CApem证书文献 -caname CA组织名称 -out 输出pfx文献 -name commonname -passout pass: 以上为我在应用中使用到命令，提供出来供人们参照。服务器证书与顾客证书为平级关系，只是配备文献不同，配备证书配备文献在网上诸多，这里就不赘述。 openssl 某些参数： openssl dhparam [-inform DER|PEM] [-outform DER|PEM] [-in filename] [-out filename] [-dsaparam] [-noout] [-text] [-C] [-2] [-5] [-rand file(s)] [numbits] -inform DER|PEM 指定输入格式是DEM还是DER. DER格式采用ASN1DER原则格式。普通用多都是PEM格式，就是base64编码格式.你去看看你做出来那些.key，.crt文献普通都是PEM格式，第一行和最后一行指明内容，中间就是通过编码东西。 -outform DER|PEM 和上一种差不多，不同是指定输出格式 -in filename 要分析文献名称。 -out filename 要输出文献名。 -dsaparam 如果本option被set，那么无论输入还是输入都会当做DSA参数。它们再被转化成DH参数格式。这样子产生DH参数和DH key都会块诸多。会使SSL握手时间缩短。固然时间是以安全性做牺牲，因此如果这样子最佳每次使用不同参数，以免给人K破你key. -2，-5 使用哪个版本DH参数产生器。版本2是缺省。如果这俩个option有一种被set，那么将忽视输入文献。 -rand file(s) 产生key时候用过seed文献，可以把各种文献用冒号分开一起做seed. numbits 指明产生参数长度。必要是本指令最后一种参数。如果没有指明，则产生512bit长参数。 -noout 不打印参数编码版本信息。 -text 将DH参数以可读方式打印出来。 -C 将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。 openssl尚有俩个指令， dh，gendh，当前都过时了，所有功能由dhparam实现。当前dh，gendh这俩个指令还保存，但在将来也许会用做其她用途。本文将简介如何运用TomcatHTTPS功能，和一种自己创立CA，来构建WEB服务器证书和个人数字证书，最后建成一种HTTPS双向认证环境（可以用于测试目）。本文构建HTTPS双向认证业务流程大体如下： 1. 创立WEB服务器公钥密钥，并生成服务器证书祈求。 2. 运用自建CA，依照服务器证书祈求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。 3. 运用openssl生成客户端（IE）使用个人数字证书，也由同样CA签发个人证书。 4. 将个人数字证书（PKCS12格式，包括密钥）导入到浏览器（IE/Firefox）后，就可以进行HTTPS测试了。一. 选取HTTPS WEB服务器这里咱们选取了Tomcat。固然尚有其他办法，如Apache+Tomcat，让Apache配备成HTTPS模式，而Tomcat只做HTTP业务解决，这样有助于提高性能，但本文只建造一种简朴HTTPS测试环境，只用Tomcat自带HTTPS功能。（固然，我后来会考虑研究一下Apache+Tomcat模式，届时再和人们一起分享经验）二. 创立一种自己CA 创立一种自己CA来模仿HTTPS构建环境（运用CA签发证书），不但有助于理解PKI概念，并且有助于理解真正应用业务流程。关于如何创立一种简朴测试用CA我已在本博客发文，题目为《运用openssl创立一种简朴CA》，请参照。此外，如果你真觉得建一种CA比较麻烦，且只使用几种个人数字证书话，固然也可以不建CA，下面章节也会提到不用CA如何构建双向认证。三. 创立服务器公钥密钥及颁发服务器证书事实上有两种办法生成服务器证书，一种是用JDK带keytool，另一种是用openssl命令生成pkcs12格式证书。个人更喜欢第二种，由于用openssl生成pkcs12格式服务器证书可以导出明文服务器密钥，便于用wireshark（ethereal新名字）查看HTTPS里被加密过HTTP消息。keytool生成keystore也有办法导出密钥，但还要编程去弄，太麻烦了。办法一，用keytool创立服务器公钥密钥并用CA签发服务器证书： keytool是JDK自带工具程序，保证keytool已在PATH途径里（或在如下命令里指明keytool全途径，如$JAVA_HOME/bin/keytool）。 1. 用keytool生成服务器公钥密钥：在TOMCATconf目录里执行如下命令（假设conf目录途径为$TOMCAT_HOME/conf/）： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername，OU=servers，O=ABCom" 注：其中DN（证书唯一取别名）里CN最佳是服务器域名地址或IP地址（由于浏览器在发现服务器证书CN与访问服务器域名或IP不符时，会报一种警告，但是这个问题不大）。 2. 生成服务器证书祈求，并让测试CA签发服务器证书事实上本环节也可以省略，唯一不好成果是顾客在开始访问服务器HTTPS服务时，会跳一种窗口警告顾客，顾客可以在该窗口里看到服务器证书是一种自签名证书（用服务器私钥自己给自己签发证书，keytool生成公钥密钥时自动生成这种证书）。但只要顾客选取“信任该证书”，也照样可以与服务器建立HTTPS连接。但正规HTTPS服务器，还是应当申请一种服务器证书比较好。 2.1 生成服务器证书祈求： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem 如下命令可以查看一下证书祈求内容： openssl req -in serverreq.pem -text -noout 2.2 用测试CA订立服务器证书：把serverreq.pem拷贝到CA某目录下，咱们就可以按照《运用openssl创立一种简朴CA》里“CA寻常操作”“1. 依照证书申请祈求签发证书”章节进行证书签发了： openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥保护密码。 2.3 把服务器证书导回到服务器keystore里：前面命令里生成servercert.pem即为服务器证书。从CA处把该文献及CA证书（$HOME/testca/cacert.pem）拿来，一起放到Tomcatconf目录里。此外导入前，尚有一种工作需要做，需要手工编辑servercert.pem证书文献，把‘-----BEGIN CERTIFICATE-----’该行前所有内容都删掉，由于keytool不认得这些阐明性内容。导入前也可以执行命令查看一下证书内容： keytool -printcert -file servercert.pem 导入服务器证书：先导入CA证书： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 再导入服务器证书： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem 导入后可以用如下命令查看一下keystore里内容： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v 3. 创立服务器信任客户端CA证书库：用keytool创立一种证书库，里面存储服务器信任CA证书，也就是只有这些CA签发客户端个人证书才被服务器信任，才干通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”核心配备。注：如果只是测试目，为了简朴期间，也可以直接把客户端未经CA签发自签名证书直接导入信任证书库里。这里，咱们假设客户端个人证书（后续章节简介如何生成客户端个人证书）也是由测试CA签发，因此咱们要把cacert.pem证书导入信任证书库： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 可以用如下命令查看信任证书库内容： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配备Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：修改tomcatconf目录里server.xml文献（$TOMCAT_HOME/conf/server.xml），找到类似下面内容配备处，添加配备如下： <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS" truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" /> （题外话：其实HTTPS单向和双向认证配备唯一区别是，把clientAuth改为false，去掉truststore有关配备，就是单向HTTPS认证了，单向HTTPS用也许更多，它重要在浏览器与f服务器交互HTTP需要加密，而不需要验证客户端证书时使用。）经以上配备后，重启tomcat，服务器就支持HTTPS双向认证了。办法二，用openssl创立服务器公钥密钥并用CA签发服务器证书：前面已经提到过，这种方式好处是有助于抓包查看服务器与浏览器HTTPS交互里HTTP信息。其实，这种办法与《运用openssl创立一种简朴CA》里提到制作个人数字证书办法很类似（请参照《运用openssl创立一种简朴CA》“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节）。 1. 制作服务器证书（最后形成一种pkcs12文献，包括服务器密钥、证书和CA证书）假设咱们把服务器有关东西生成到CA$HOME/testca/test/server目录里： mkdir -p "$HOME/testca/test/server" cd "$HOME/testca/test/server" 2.1 创立服务器公钥密钥，并同步生成一种服务器证书祈求： openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM \ -subj "/O=ABCom/OU=servers/CN=servername" 执行命令过程中输入密钥保护密码222222。执行后可以用如下命令查看祈求内容： openssl req -in serverreq.pem -text -noout 2.2 用测试CA订立服务器证书：把serverreq.pem拷贝到CA某目录下，咱们就可以按照《运用openssl创立一种简朴CA》里“CA寻常操作”“1. 依照证书申请祈求签发证书”章节进行证书签发了： openssl ca -in serverreq.pem -out servercert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥保护密码。执行完后可以用如下命令查看证书内容： openssl x509 -in servercert.pem -text -noout 导入信任CA根证书到Java默认位置 keytool -import -v -trustcacerts -storepass changeit -alias root_aisce -file c:\root\ca-cert.pem -keystore %JAVA_HOME%\jre\lib\security\cacerts 2.3 制作服务器pkcs12文献（包括服务器密钥、证书和CA证书） openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \ -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" \ -caname root -chain 执行过程中要输入服务器密钥保护密码（serverkey.pem）和新生成tomcat.p12保护密码，咱们都输入222222。创立完毕后，把pkcs12文献拷贝到tomcatconf目录下。 3. 创立服务器信任客户端CA证书库：同办法一相应章节，这里，咱们假设客户端个人证书（后续章节简介如何生成客户端个人证书）也是由测试CA签发，因此咱们要把cacert.pem证书导入信任证书库： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用如下命令查看信任证书库内容： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配备Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：修改tomcatconf目录里server.xml文献（$TOMCAT_HOME/conf/server.xml），找到类似下面内容配备处，添加配备如下： <Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="true" sslProtocol="TLS" keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12" truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" /> 注意：其中keystorekeystoreType与办法一配备不同。经以上配备后，重启tomcat，服务器就支持HTTPS双向认证了。四. 创立用于客户端（浏览器）测试个人数字证书（pkcs12格式）完全按照《运用openssl创立一种简朴CA》里提到制作个人数字证书办法来进行，请参照《运用openssl创立一种简朴CA》“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节。 1. 创立个人密钥和证书祈求（证书祈求里包括了公钥）创立$HOME/testuser1目录并执行命令：（证书等都放到这个目录） mkdir $HOME/testuser1 cd $HOME/testuser1 openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1" 执行过程中需要输入私钥保护密码，假设咱们输入密码： 222222 执行完后，testkey.pem即为顾客密钥，而testreq.pem即为证书祈求。可以用openssl req -in testreq.pem -text -noout查看证书祈求内容。 2. 用CA为testuser1签发个人证书同样还在$HOME/testuser1目录下执行命令： openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA密钥保护密码（刚才设立888888），并且最后询问你与否要给该顾客签发证书时要选y。执行完后，testcert.pem即为证书，可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。 3. 制作PKCS12文献（个人数字证书）咱们制作这个PKCS#12文献将包括密钥、证书和颁发该证书CA证书。把前几步生成密钥和证书制作成一种pkcs12文献办法执行命令： openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem" 执行过程中需要输入保护密钥密码（222222），以及新保护pkcs12文献密码（222222）。执行完后，若要查看testuser1.p12内容可以用命令openssl pkcs12 -in testuser1.p12 该testuser1.p12即为pkcs12文献。你可以直接拷贝到windows下，作为个人数字证书，双击导入IE后就可以使用了。五. 用一种简朴webapp来测试HTTPS 服务器证书和个人证书都准备好了，咱们可以写一种简朴webapp，里面只有一种jsp，用于查看https客户端验证与否起效了。 1. 创立webapp用于测试https：在$TOMCAT_HOME/webapps/里创立一种目录testhttps，并在testhttps目录里创立WEB-INF目录，并在该目录里创立web.xml文献如下：文献：$TOMCAT_HOME/webapps/WEB-INF/web.xml <?xml version="1.0" encoding="ISO-8859-1"?> <web-app xmlns="" xmlns:xsi="" xsi:schemaLocation=":// version="2.4"> <display-name>Test HTTPS App</display-name> </web-app> 2. 创立一种显示客户端证书信息JSP：在testhttps目录创立文献seecert.jsp 文献：$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp <%@ page import="java.security.cert.X509Certificate" contentType="text/html；charset=GB2312" %> <pre> <% java.security.cert.X509Certificate[] certs=null; try{ certs=(X509Certificate[])request.getAttribute("javax.servlet.request.X509Certificate"); if (certs == null) { out.println("No certificates"); } else if (certs.length == 0) { out.println("Certificates length is 0"); } else { java.security.cert.X509Certi

展开阅读全文