編譯安裝openssl 並生成證書筆記

環境部署

wget https://www.openssl.org/source/openssl-1.1.1.tar.gz
tar zxvf openssl-1.1.1.tar.gz
cd openssl-1.1.1
./config
./Configure --prefix=/usr/local/openssl no-shared linux-x86_64
make && make install

建立CA部分

1. 修改openssl配置文件

vim /usr/local/openssl/ssl/openssl.cnf

主要修改CA工做目錄就能夠了

[CA_default] 部分 dir = /home/CA

大概是第46行的位置

[CA_default]
dir             = /home/CA

建立CA的工做目錄結構和文件

mkdir -p /home/CA /home/CA/newcerts /home/CA/certs /home/CA/private
echo '100p' > /home/CA/serial
touch /home/CA/index.txt

2.生成我的CA的私鑰

cd /home/CA/private

openssl genrsa -out ca.key 2048

3.生成CA的根證書

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

或

openssl req -new -key ca.key -out ca.csr
openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.crt

建立分類應用根證書部分

1.創建一個應用目錄

cd /home/CA/newcerts
mkdir webdav

2.生成該應用的私鑰（二級根證書的私鑰）

cd webdav
openssl genrsa -out webdav.key 2048

3.生成該應用根證書的申請文件（二級根證書申請文件）

openssl req -new -key webdav.key -out webdav.csr

4. 向CA申請生成該應用根證書

openssl ca -in webdav.csr -cert /home/CA/private/ca.crt -keyfile /home/CA/private/ca.key -days 3650 -out webdav.crt

5.能夠對生成的應用跟證據向ca證書申請驗證

openssl verify -CAfile /home/CA/private/ca.crt webdav.crt

 

生成該應用的服務器端證書和客戶端證書

建立該應用的存儲生成的服務器證書和客戶端證書目錄

mkdir server client

生成該應用的服務器證書

cd server
openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr
openssl ca -in server.csr -cert ../webdav.crt -keyfile ../webdav.key  -days 3650 -out server.crt

生成該應用的客戶端證書

cd ../client
openssl genrsa -out client.key 2048
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -cert ../webdav.crt -keyfile ../webdav.key  -days 3650 -out client.crt