openssl证书申请说明专业资料.doc

1、1. 根证书申请 准备根证书 准备某些空目录和文献，作用如下： · certs/ 保存颁发所有证书副本 · index.txt 跟踪已颁发证书，初始为空 · f openssl和根证书配备文献 · private/ CA证书私钥 · serial 最后一次颁发证书序列号，初始值01，也可以是00等其他值 f内容如下，我一气儿弄了有效期： [ ca ] default_ca = FwolfCA [ FwolfCA ] dir = /big2/tools/ca certificate = $dir/cacert.pem database = $dir/i

2、ndex.txt new_certs_dir = $dir/certs private_key = $dir/private/cakey.pem serial = $dir/serial default_crl_days= 7 default_days = 3650 default_md = sha1 policy = FwolfCA_policy x509_extensions = certificate_extensions [ FwolfCA_policy ] commonName = supplied stateOrProvinceName = sup

3、plied stateOrProvinceName = supplied countryName = supplied emailAddress = supplied organizationName= supplied organizationalUnitName = optional [ certificate_extensions ] basicConstraints= CA:false # 下面是根证书配备信息 [ req ] default_bits = 4096 default_keyfile = /big2/tools/ca/private/ca

4、key.pem default_md = sha1 prompt = no distinguished_name = root_ca_distinguished_name x509_extensions = root_ca_extensions [ root_ca_distinguished_name ] commonName = Fwolf CA stateOrProvinceName = The Earth # countryName只能是两位字母 countryName = CN emailAddress = #organizationName = Root

5、Certification Authority organizationName = Fwolf CA Root [ root_ca_extensions ] basicConstraints = CA:true 然后生成根证书： $ openssl req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config f 会提示输入密码以及确认密码。生成好后来可以验证一下（说是验证，其实就是看看内容）： $ openssl x509 -in cacert.pem -text -noout 给自己颁

6、发证书 $ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 按提示输入两次密码，然后输入几项证书信息，注意其中organizationName必要输入，并且Common Name要和域名一致，例如： Common Name (eg，YOUR name) []:* 就生成了私钥key文献和祈求req文献，然后把req文献提交给CA根证书订立（盖章）： $ openssl ca -in .req.pem -config f 输入根证书密码，就会在c

7、erts/目录下生成.pem证书文献，文献名以serial中序号开头，信息会存储在index.txt中。 这样生成证书，在apache中配备需要两条语句，分别指定证书和私钥： SSLEngine On SSLCertificateFile /big2/tools/ca/certs/.cert.pem SSLCertificateKeyFile /big2/tools/ca/certs/.key.pem 其实这两个文献是可以合并为一种文献： $ cat .key.pem .cert.pem > .pem 然后在配备apache时候就只需要一句了： SSLEngine On SS

8、LCertificateFile /big2/tools/ca/certs/.pem 其他 去掉证书口令 当前证书基本上就可以使用了，再返回来说一种问题，就是在启动apache时候会提示输入私钥口令，要想去掉这个（普通都不会喜欢这样），就规定在生成私钥时候不要设立口令： $ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 -nodes 生成根证书时候还是建议带上个口令，提高安全性。 index.txt 此外，如果要清空index.txt话，一

9、定要清空到字节0，里面有一种字节都会导致openssl ca错误： wrong number of fields on line 1 (looking for field 6，got 1，'' left) 证书吊销 $ openssl ca -revoke .cert.pem # 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl -in exampleca.crl -noo

10、ut -CAfile cacert.pem 可以看到CRL版本号为1，这是OpenSSL默认，除非crl_extensions被指定在配备文献ca一节中。 上传到MT主机上应用 一方面在Server > Certificates >中Add New Certificate，填上Add New Certificate（自己起），然后选下面Private key私钥文献和Certificate证书文献上传，就存到服务器上了。 然后返回证书列表，选中新上传证书前面复选框，点上面链接Make default for Web sites设立为网站默认证书，也可以通过Secure control

11、panel将其设立为控制面板所使用证书。 还没完，证书还得加到ip上才干生效，Server > IP Addresses >中修改ip地址属性，在SSL Certificate中选取刚才上传证书，保存，就立即生效了。 基于ssl/https合同特性，一种ip上只能使用一种证书，因此合租顾客是无法自己上传或者选取其他证书，但是我当前使用证书是签给“*”，也就是所有域名都可以使用，“好看”一点。让我不理解是，如果在访问一种域名时批准了这个证书，在访问此外一种域名时候还得再批准一遍，也就是证书和域名是要配套使用，和我原先想法不太一致。 4.密钥和证书

12、管理 密钥和证书管理是PKI一种重要构成某些，OpenSSL为之提供了丰富功能，支持各种原则。 一方面，OpenSSL实现了ASN.1证书和密钥有关原则，提供了对证书、公钥、私钥、证书祈求以及CRL等数据对象DER、PEM和BASE64编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥办法、函数和应用程序，同步提供了对公钥和私钥DER编解码功能。并实现了私钥PKCS#12和PKCS#8编解码功能。OpenSSL在原则中提供了对私钥加密保护功能，使得密钥可以安全地进行存储和分发。 在此基本上，OpenSSL实现了对证书X.509原则编解码、PKCS#12格式编解

13、码以及PKCS#7编解码功能。并提供了一种文本数据库，支持证书管理功能，涉及证书密钥产生、祈求产生、证书签发、吊销和验证等功能。 事实上，OpenSSL提供CA应用程序就是一种小型证书管理中心（CA），实现了证书签发整个流程和证书管理大某些机制。 下面说说俺在实际应用中证书生成。 1.初始化CA：OPENSSL req -x509 -config 此处写配备文献途径和名称 -extensions 此处为配备文献根证书扩展配备 -newkey rsa:此处为编码大小 -keyout 此处为输出密钥文献名称 -out 此处为输出根证书名称 -passout pass:此处为根证书

14、密码 -days 此处为有效期，为天数。 当执行完此命令，便生成了根证书私钥和根证书。 2.建立服务器证书： 建立祈求：OPENSSL req -new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出祈求 -config 配备文献 -days 有效期 -nodes（输出密钥和祈求为同一文献） 建立newcert：OPENSSL ca  -config 配备文献 -policy 配备文献中段 -days 有效期 -out newcert.pem文献 -passin pass:CA密钥 -batch -extensions 配备文献中段 -infiles

15、祈求文献 建立PKCS12格式证书：RANDFILE=random文献途径 OPENSSL pkcs12 -export -in newcert.pem途径 -inkey 祈求密钥文献 -certfile CA证书文献  -caname CA名称 -out 输出pfx文献 -clcerts -name commonname -passout pass: RANDFILE=random文献途径 OPENSSL pkcs12  -in pfx文献 -out 输出pem证书文献 -passin pass：-passout pass: 建立DER格式证书：OPENSSL x509 -in 以上建

16、立pem证书文献 -out der证书文献 -inform PEM -outform DER 3.建立顾客证书： 建立祈求：OPENSSL req -new -newkey rsa:此处为密钥大小 -keyout 输出顾客私钥文献 -out 输出顾客祈求 -config 配备文献 -days 有效期（天）-nodes 建立证书：OPENSSL ca  -config 配备文献 -in 祈求文献 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配备文献中段 建立der格式证书：OPENSSL -

17、x509  -in 顾客证书（上一步生成证书，在配备文献中指定了） -out 输出der证书 -inform PEM -outform DER 建立pfx格式证书：RANDFILE=random文献途径 OPENSSL pkcs12 -export -in 顾客证书 -inkey 顾客密钥 -certfile CApem证书文献 -caname CA组织名称 -out 输出pfx文献 -name commonname -passout pass: 以上为我在应用中使用到命令，提供出来供人们参照。 服务器证书与顾客证书为平级关系，只是配备文献不同，配备证书配备文献在网上诸多，这里就不赘述

18、 openssl 某些参数： openssl dhparam [-inform DER|PEM] [-outform DER|PEM] [-in filename]              [-out filename] [-dsaparam] [-noout] [-text] [-C] [-2] [-5]              [-rand file(s)] [numbits]        -inform DER|PEM        指定输入格式是DEM还是DER. DER格式采用ASN1DER原则格式。普通用多都是PEM格式，就是base64编码格式.你去看看你

19、做出来那些.key，.crt文献普通都是PEM格式，第一行和最后一行指明内容，中间就是通过编码东西。        -outform DER|PEM        和上一种差不多，不同是指定输出格式        -in filename        要分析文献名称。        -out filename        要输出文献名。        -dsaparam        如果本option被set，那么无论输入还是输入都会当做DSA参数。它们再被转化成DH参数格式。这样子产生DH参数和DH key都会块诸多。会使SSL握手时间缩短。固然时间是以安全性做牺牲，因

20、此如果这样子最佳每次使用不同参数，以免给人K破你key.         -2，-5        使用哪个版本DH参数产生器。版本2是缺省。如果这俩个option有一种被set，那么将忽视输入文献。               -rand file(s)        产生key时候用过seed文献，可以把各种文献用冒号分开一起做seed.        numbits        指明产生参数长度。必要是本指令最后一种参数。如果没有指明，则产生512bit长参数。                     -noout        不打印参数编码版本信息。    

21、    -text        将DH参数以可读方式打印出来。        -C        将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。              openssl尚有俩个指令， dh，gendh，当前都过时了，所有功能由dhparam实现。        当前dh，gendh这俩个指令还保存，但在将来也许会用做其她用途。 本文将简介如何运用TomcatHTTPS功能，和一种自己创立CA，来构建WEB服务器证书和个人数字证书，最后建成一种HTTPS双向认证环

22、境（可以用于测试目）。本文构建HTTPS双向认证业务流程大体如下： 1. 创立WEB服务器公钥密钥，并生成服务器证书祈求。 2. 运用自建CA，依照服务器证书祈求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。 3. 运用openssl生成客户端（IE）使用个人数字证书，也由同样CA签发个人证书。 4. 将个人数字证书（PKCS12格式，包括密钥）导入到浏览器（IE/Firefox）后，就可以进行HTTPS测试了。 一. 选取HTTPS WEB服务器 这里咱们选取了Tomcat。固然尚有其他办法，如Apache+Tomcat，让Apache配备成HTTPS模式，而T

23、omcat只做HTTP业务解决，这样有助于提高性能，但本文只建造一种简朴HTTPS测试环境，只用Tomcat自带HTTPS功能。（固然，我后来会考虑研究一下Apache+Tomcat模式，届时再和人们一起分享经验） 二. 创立一种自己CA 创立一种自己CA来模仿HTTPS构建环境（运用CA签发证书），不但有助于理解PKI概念，并且有助于理解真正应用业务流程。关于如何创立一种简朴测试用CA我已在本博客发文，题目为《运用openssl创立一种简朴CA》，请参照。 此外，如果你真觉得建一种CA比较麻烦，且只使用几种个人数字证书话，固然也可以不建CA，下面章节也会提到不用CA如何构建双向

24、认证。 三. 创立服务器公钥密钥及颁发服务器证书 事实上有两种办法生成服务器证书，一种是用JDK带keytool，另一种是用openssl命令生成pkcs12格式证书。个人更喜欢第二种，由于用openssl生成pkcs12格式服务器证书可以导出明文服务器密钥，便于用wireshark（ethereal新名字）查看HTTPS里被加密过HTTP消息。keytool生成keystore也有办法导出密钥，但还要编程去弄，太麻烦了。 办法一，用keytool创立服务器公钥密钥并用CA签发服务器证书： keytool是JDK自带工具程序，保证keytool已在PATH途径里（或在如下命令里

25、指明keytool全途径，如$JAVA_HOME/bin/keytool）。 1. 用keytool生成服务器公钥密钥： 在TOMCATconf目录里执行如下命令（假设conf目录途径为$TOMCAT_HOME/conf/）： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname "CN=servername，OU=servers，O=ABCom" 注：其中DN（证书唯一取别名）里CN最佳是服务器域名地址或IP地址（由于浏览器

26、在发现服务器证书CN与访问服务器域名或IP不符时，会报一种警告，但是这个问题不大）。 2. 生成服务器证书祈求，并让测试CA签发服务器证书 事实上本环节也可以省略，唯一不好成果是顾客在开始访问服务器HTTPS服务时，会跳一种窗口警告顾客，顾客可以在该窗口里看到服务器证书是一种自签名证书（用服务器私钥自己给自己签发证书，keytool生成公钥密钥时自动生成这种证书）。但只要顾客选取“信任该证书”，也照样可以与服务器建立HTTPS连接。 但正规HTTPS服务器，还是应当申请一种服务器证书比较好。 2.1 生成服务器证书祈求： keytool -keystore tomcat.jk

27、s -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem 如下命令可以查看一下证书祈求内容： openssl req -in serverreq.pem -text -noout 2.2 用测试CA订立服务器证书： 把serverreq.pem拷贝到CA某目录下，咱们就可以按照《运用openssl创立一种简朴CA》里“CA寻常操作”“1. 依照证书申请祈求签发证书”章节进行证书签发了： openssl ca -in serverreq.pem -out servercert.p

28、em -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥保护密码。 2.3 把服务器证书导回到服务器keystore里： 前面命令里生成servercert.pem即为服务器证书。从CA处把该文献及CA证书（$HOME/testca/cacert.pem）拿来，一起放到Tomcatconf目录里。 此外导入前，尚有一种工作需要做，需要手工编辑servercert.pem证书文献，把‘-----BEGIN CERTIFICATE-----’该行前所有内容都删掉，由于keytool不认得这些阐明性内容。 导入前也可以执行命令查看

29、一下证书内容： keytool -printcert -file servercert.pem 导入服务器证书： 先导入CA证书： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 再导入服务器证书： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.

30、pem 导入后可以用如下命令查看一下keystore里内容： keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v 3. 创立服务器信任客户端CA证书库： 用keytool创立一种证书库，里面存储服务器信任CA证书，也就是只有这些CA签发客户端个人证书才被服务器信任，才干通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”核心配备。注：如果只是测试目，为了简朴期间，也可以直接把客户端未经CA签发自签名证书直接导入信任证书库里。 这里，咱们假设客户端个人证书（后续章节简介

31、如何生成客户端个人证书）也是由测试CA签发，因此咱们要把cacert.pem证书导入信任证书库： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem 可以用如下命令查看信任证书库内容： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v 4. 配备Tomcat支持HTTPS双向认证（服务器将认证客户端证

32、书）： 修改tomcatconf目录里server.xml文献（$TOMCAT_HOME/conf/server.xml），找到类似下面内容配备处，添加配备如下：    

33、me="https" secure="true"                clientAuth="true" sslProtocol="TLS"                keystoreFile="conf/tomcat.jks" keystorePass="222222" keystoreType="JKS"       truststoreFile="conf/truststore.jks" truststorePass="222222" truststoreType="JKS" /> （题外话：其实HTTPS单向和双向认证配备唯一区别是，把clientAuth改

34、为false，去掉truststore有关配备，就是单向HTTPS认证了，单向HTTPS用也许更多，它重要在浏览器与f服务器交互HTTP需要加密，而不需要验证客户端证书时使用。） 经以上配备后，重启tomcat，服务器就支持HTTPS双向认证了。 办法二，用openssl创立服务器公钥密钥并用CA签发服务器证书： 前面已经提到过，这种方式好处是有助于抓包查看服务器与浏览器HTTPS交互里HTTP信息。 其实，这种办法与《运用openssl创立一种简朴CA》里提到制作个人数字证书办法很类似（请参照《运用openssl创立一种简朴CA》“三. 自己生成公钥密钥，并用测试CA签发

35、数字证书”章节）。 1. 制作服务器证书（最后形成一种pkcs12文献，包括服务器密钥、证书和CA证书） 假设咱们把服务器有关东西生成到CA$HOME/testca/test/server目录里： mkdir -p "$HOME/testca/test/server" cd "$HOME/testca/test/server" 2.1 创立服务器公钥密钥，并同步生成一种服务器证书祈求： openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM

36、 \             -subj "/O=ABCom/OU=servers/CN=servername" 执行命令过程中输入密钥保护密码222222。 执行后可以用如下命令查看祈求内容： openssl req -in serverreq.pem -text -noout 2.2 用测试CA订立服务器证书： 把serverreq.pem拷贝到CA某目录下，咱们就可以按照《运用openssl创立一种简朴CA》里“CA寻常操作”“1. 依照证书申请祈求签发证书”章节进行证书签发了： openssl ca -in serverreq.pem -out servercer

37、t.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA私钥保护密码。 执行完后可以用如下命令查看证书内容： openssl x509 -in servercert.pem -text -noout 导入信任CA根证书到Java默认位置  keytool -import -v -trustcacerts -storepass changeit -alias root_aisce -file c:\root\ca-cert.pem -keystore %JAVA_HOME%\jre\lib\security\cacerts 

38、 2.3 制作服务器pkcs12文献（包括服务器密钥、证书和CA证书） openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem \                         -out tomcat.p12 -name tomcat -CAfile "$HOME/testca/cacert.pem" \                         -caname root -chain 执行过程中要输入服务器密钥保护密码（serverkey.pem）和新生成tomcat.p12保护密码，咱们都输入222

39、222。 创立完毕后，把pkcs12文献拷贝到tomcatconf目录下。 3. 创立服务器信任客户端CA证书库： 同办法一相应章节，这里，咱们假设客户端个人证书（后续章节简介如何生成客户端个人证书）也是由测试CA签发，因此咱们要把cacert.pem证书导入信任证书库： keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用如下命令查看信任证书库内容： keytool -keystore trust

40、store.jks -keypass 222222 -storepass 222222 -list -v 4. 配备Tomcat支持HTTPS双向认证（服务器将认证客户端证书）： 修改tomcatconf目录里server.xml文献（$TOMCAT_HOME/conf/server.xml），找到类似下面内容配备处，添加配备如下：   

41、ups="false" disableUploadTimeout="true"                acceptCount="100" debug="0" scheme="https" secure="true"                clientAuth="true" sslProtocol="TLS"                keystoreFile="conf/tomcat.p12" keystorePass="222222" keystoreType="PKCS12"                truststoreFile="conf/trusts

42、tore.jks" truststorePass="222222" truststoreType="JKS" /> 注意：其中keystorekeystoreType与办法一配备不同。经以上配备后，重启tomcat，服务器就支持HTTPS双向认证了。 四. 创立用于客户端（浏览器）测试个人数字证书（pkcs12格式） 完全按照《运用openssl创立一种简朴CA》里提到制作个人数字证书办法来进行，请参照《运用openssl创立一种简朴CA》“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节。 1. 创立个人密钥和证书祈求（证书祈求里包括了公钥） 创立$HOME/test

43、user1目录并执行命令：（证书等都放到这个目录） mkdir $HOME/testuser1 cd $HOME/testuser1 openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj "/O=TestCom/OU=TestOU/CN=testuser1" 执行过程中需要输入私钥保护密码，假设咱们输入密码： 222222 执行完后，testkey.pem即为顾客密钥，而testreq.pem即为证书祈求。 可以用openssl req

44、 -in testreq.pem -text -noout查看证书祈求内容。 2. 用CA为testuser1签发个人证书 同样还在$HOME/testuser1目录下执行命令： openssl ca -in testreq.pem -out testcert.pem -config "$HOME/testca/conf/testca.conf" 执行过程中需要输入CA密钥保护密码（刚才设立888888），并且最后询问你与否要给该顾客签发证书时要选y。 执行完后，testcert.pem即为证书， 可以用命令openssl x509 -in testcert.pem -text

45、 -noout查看证书内容。 3. 制作PKCS12文献（个人数字证书） 咱们制作这个PKCS#12文献将包括密钥、证书和颁发该证书CA证书。 把前几步生成密钥和证书制作成一种pkcs12文献办法执行命令： openssl pkcs12 -export -in testcert.pem -inkey testkey.pem -out testuser1.p12 -name testuser1 -chain -CAfile "$HOME/testca/cacert.pem" 执行过程中需要输入保护密钥密码（222222），以及新保护pkcs12文献密码（222222）。 执行

46、完后，若要查看testuser1.p12内容可以用命令openssl pkcs12 -in testuser1.p12 该testuser1.p12即为pkcs12文献。你可以直接拷贝到windows下，作为个人数字证书，双击导入IE后就可以使用了。 五. 用一种简朴webapp来测试HTTPS 服务器证书和个人证书都准备好了，咱们可以写一种简朴webapp，里面只有一种jsp，用于查看https客户端验证与否起效了。 1. 创立webapp用于测试https： 在$TOMCAT_HOME/webapps/里创立一种目录testhttps，并在testhttps目录里创立WE

47、B-INF目录，并在该目录里创立web.xml文献如下： 文献：$TOMCAT_HOME/webapps/WEB-INF/web.xml Test HTTPS App 2. 创立一种显示客户端证书信息JSP： 在testhttps目录创立文献s

48、eecert.jsp 文献：$TOMCAT_HOME/webapps/WEB-INF/seecert.jsp <%@ page import="java.security.cert.X509Certificate" contentType="text/html；charset=GB2312" %>

<%
    java.security.cert.X509Certificate[] certs=null;
    try{
            certs=(X509Certificate[])request.getAttribute("javax.servlet
49、request.X509Certificate");
                if (certs == null) {
                        out.println("No certificates");
                } else if (certs.length == 0) {
                        out.println("Certificates length is 0");
                } else {
                        java.security.cert.X509Certi