OPENSSL操作(CA证书)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
OpenSSL操作步骤
第 1 部分 OpenSSL实践
切换到/etc/pki/CA/目录
(1)创建CA私钥:
openssl genrsa -out private/ca.key 1024
(2)加密CA私钥(保护私钥信息):
openssl rsa -in ca.key -out cakey.pem
(3)创建CA自签名证书(使用上一步创建的CA私钥来签名):
openssl req -new -days 365 -x509 -key private/ca.key -out cacert.pem
(4)创建服务器私钥:
openssl genrsa -des3 -out private/server.key 1024
(5)加密服务器私钥(保护私钥信息):
openssl rsa -in private/server.key -out private/serverkey.pem
(6)创建申请服务器所需证书的请求:
openssl req -new -days 365 -key server.key -out server.csr
(7)CA私钥和序列号文件demoCA/serial, demoCA/index.txt
mkdir certs crl newcerts
touch index.txt serial
echo 01 > serial
(8)CA签署服务器证书:
openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in server.csr -out server.pem
(9)转换证书格式:
openssl x509 -in server.pem -out certs/server.crt
openssl x509 -in cacert.pem -out certs/cacert.crt
(10)产生Java客户端私钥文件:
keytool -genkey -keyalg RSA -alias ztyHotelService -keystore ztyHotelService.jks -storepass f1l89rmy -storetype jks
(11)产生Java客户端证书请求:
keytool -certreq -alias ztyHotelService -keyalg RSA -file ztyHotelService.csr -keystore ztyHotelService.jks
(12)CA签署Java客户端证书:
openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in ztyHotelService.csr -out ztyHotelService.pem
(13)转换格式:
openssl x509 -in ztyHotelService.pem -out certs/ztyHotelService.cer
(14)导入CA证书到jks文件并信任之(由此CA所签署的所有证书也因此在信任之列):keytool -import -alias root -trustcacerts -file certs/cacert.crt -keystore ztyHotelService.jks
(15)导入自己的证书到jks文件(至此,此jks文件包括了建立SSL连接所需所有信息):keytool -import -alias ztyHotelService -trustcacerts -file certs/ztyHotelService.cer -keystore ztyHotelService.jks
(16)转换成pkcs12格式,为客户端安装所用
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
第 2 部分错误信息➢服务器私钥密码输入错误: