OPENSSL操作(CA证书)

OpenSSL操作步骤

第 1 部分 OpenSSL实践

切换到/etc/pki/CA/目录

(1)创建CA私钥：

openssl genrsa -out private/ca.key 1024

(2)加密CA私钥(保护私钥信息):

openssl rsa -in ca.key -out cakey.pem

(3)创建CA自签名证书(使用上一步创建的CA私钥来签名)：

openssl req -new -days 365 -x509 -key private/ca.key -out cacert.pem

(4)创建服务器私钥:

openssl genrsa -des3 -out private/server.key 1024

(5)加密服务器私钥(保护私钥信息):

openssl rsa -in private/server.key -out private/serverkey.pem

(6)创建申请服务器所需证书的请求:

openssl req -new -days 365 -key server.key -out server.csr

(7)CA私钥和序列号文件demoCA/serial, demoCA/index.txt

mkdir certs crl newcerts

touch index.txt serial

echo 01 > serial

(8)CA签署服务器证书:

openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in server.csr -out server.pem

(9)转换证书格式：

openssl x509 -in server.pem -out certs/server.crt

openssl x509 -in cacert.pem -out certs/cacert.crt

(10)产生Java客户端私钥文件：

keytool -genkey -keyalg RSA -alias ztyHotelService -keystore ztyHotelService.jks -storepass f1l89rmy -storetype jks

(11)产生Java客户端证书请求：

keytool -certreq -alias ztyHotelService -keyalg RSA -file ztyHotelService.csr -keystore ztyHotelService.jks

(12)CA签署Java客户端证书：

openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in ztyHotelService.csr -out ztyHotelService.pem

(13)转换格式：

openssl x509 -in ztyHotelService.pem -out certs/ztyHotelService.cer

(14)导入CA证书到jks文件并信任之(由此CA所签署的所有证书也因此在信任之列)：keytool -import -alias root -trustcacerts -file certs/cacert.crt -keystore ztyHotelService.jks

(15)导入自己的证书到jks文件(至此,此jks文件包括了建立SSL连接所需所有信息)：keytool -import -alias ztyHotelService -trustcacerts -file certs/ztyHotelService.cer -keystore ztyHotelService.jks

(16)转换成pkcs12格式，为客户端安装所用

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

第 2 部分错误信息➢服务器私钥密码输入错误：