openssl製做證書全過程 + 部分修改

一：生成CA證書 

 

目前不使用第三方權威機構的CA來認證，本身充當CA的角色。  

 

先決條件：從openssl官網下載www.openssl.org

               安裝openssl[windows和linux安裝不一樣]

 

開始生成證書和密鑰

 

若是沒有配置環境變量，則須要進入openssl的bin目錄下執行命令，如：C:/OpenSSL/bin，，，這個不對了，我下載的是最新的openssl-0.9.8zc，沒有bin,目錄，測試了下，

能夠在win7下直接用C:\Users\xia\Desktop\https\openssl-0.9.8zc這個目錄執行，

 

若只配置了環境變量，則在任意位置均可以執行

 

在執行命令前，新建兩個目錄ca和server,這個要注意哦，在openssl-0.9.8zc這個裏面建立

 

1.       建立私鑰 ： 

 

C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024  

 

2.建立證書請求 ： 

 

C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem  

 

這句執行出錯啦，結果出現了這個錯誤:Unable to load config info from /usr/local/ssl/openssl.cnf

 

百度了一下，按照後面藍色這一段執行就OK

 原來是直接使用了別人生成好的密鑰，惋惜他是在Unix上用的，不適合Win32！沒有辦法，重新開始整openSSO,可是呢，在使用openSSO的時候，出現了 [Unable to load config info from /usr/local/ssl/openssl.cnf ] 異常.然原來這是Unix的默認設置，沒有辦法，只好建文件[c:/usr/local/ssl]，從網上下載openssl.conf，而後改成openssl.cnf，置於c:/usr/local/ssl目錄下，好了，終於搞定密鑰了，Apache也能夠啓動了，慶祝一下。 
    訪問https://localhost/login，是白屏，是沒有啓動Apache的SSL，在CMD下運行apache -D SSL,OK，一切都搞定了。
   一些優化的方法，就是在ssl.conf文件中，註釋掉<IfDefine SSL>，就能夠直接啓動SSL了。

   在配置中，還有一些問題，好比，[ Invalid SSLMutex argument file:logs/dd (Valid SSLMutex mechanisms are: `none',
default' )]，這是Apache的一個Bug，只能使用default或者none. 

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:root 

 

Email Address []:sky 

 

上面的參數都是隨意寫的，可是個人多了須要請求的密碼，必須是4位，設置爲test

 

3.自簽署證書 ： 

3650  是設置10年的證書有效期，基本夠用了

C:/OpenSSL/bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650  

 

4.將證書導出成瀏覽器支持的.p12格式 ： (不須要能夠省略)

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12  

 

密碼：changeit       ，個人繼續設置爲test

 

二.生成server證書。  

 

1.建立私鑰 ： 

 

C:/OpenSSL/bin>openssl genrsa -out server/server-key.pem 1024  

 

2.建立證書請求 ： 

 

C:/OpenSSL/bin>openssl req -new -out server/server-req.csr -key server/server-key.pem  

 

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:192.168.1.246   註釋：必定要寫服務器所在的ip地址 

 

Email Address []:sky 

 

仍是要輸入密碼。密碼繼續test

 

3.自簽署證書 ： 

 

C:/OpenSSL/bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  

 

4.將證書導出成瀏覽器支持的.p12格式 ： 

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12  

 

密碼：changeit 

 

三.生成client證書。  我使用的是https服務端有證書，客戶端不須要證書，因此這一步不須要

 

1.建立私鑰 ： 

 

C:/OpenSSL/bin>openssl genrsa -out client/client-key.pem 1024  

 

2.建立證書請求 ： 

 

C:/OpenSSL/bin>openssl req -new -out client/client-req.csr -key client/client-key.pem 

 

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:sky 

 

Email Address []:sky      註釋：就是登入中心的用戶（原本用戶名應該是Common Name，可是中山公安的不知道爲何使用的Email Address，其餘版本沒有測試） 

 

Please enter the following 'extra' attributes 

 

to be sent with your certificate request 

 

A challenge password []:123456 

 

An optional company name []:tsing  

 

3.自簽署證書 ： 

 

C:/OpenSSL/bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  

 

4.將證書導出成瀏覽器支持的.p12格式 ： 

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12  

 

密碼：changeit 

 

 

四.根據ca證書生成jks文件  注意，這裏換成了C:\Program Files (x86)\Java\jdk1.6.0\bin ，調用JDK的keytool  工具

 

C:/Java/jdk1.5.0_09/bin > keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem  

 

五.配置tomcat ssl 

 

修改conf/server.xml。tomcat6中多了SSLEnabled="true"屬性。keystorefile, truststorefile設置爲你正確的相關路徑  

 

xml 代碼 

 

 tomcat 5.5的配置： 

 

<Connector port="8443" maxHttpHeaderSize="8192" 

 

             maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 

 

             enableLookups="false" disableUploadTimeout="true" 

 

             acceptCount="100" scheme="https" secure="true" 

 

             clientAuth="true" sslProtocol="TLS"  

 

             keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"  

 

             truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />   

 

tomcat6.0的配置： 

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 

 

               maxThreads="150" scheme="https" secure="true" 

 

               clientAuth="true" sslProtocol="TLS" 

 

               keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"  

 

               truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/> 

 

六.導入證書 

 

將ca.p12，client.p12分別導入到IE中去（打開IE->;Internet選項->內容->證書）。  

 

ca.p12導入至受信任的根證書頒發機構，client.p12導入至我的 

 

  

 

七.驗證ssl配置是否正確訪問你的應用http://ip:8443/，若是配置正確的話會出現請求你數字證書的對話框。