`
仁生之狼
  • 浏览: 42915 次
  • 性别: Icon_minigender_1
  • 来自: 苏州
社区版块
存档分类
最新评论

windows 下 使用openssl创建CA

 
阅读更多

openssl应用--创建个人CA

首先安装openssl-0.9.7,安装成功以后,为了方便执行openssl指令,将openssl路径加入PATH中
$OPENSSL_HOME\out32dll\release加入PATH

使用openssl创建CA

1.生成目录树
CA认证中心需要下列相关目录,请手动建立下列目录。
CARoot
|__certs
|__newcerts
|__private
|__crl

2.生成随机数文件
在private目录下生成随机数文件.rnd,(可将一个文件内容拷贝.rnd,如将一exe文件拷贝成.rnd)。
3.生成文本数据库文件
CARoot根目录下手动创建一个空的文本数据库文件index.txt。
4.生成证书序列号文件
在CARoot下创建证书序列号文件serial,使用文本编辑器打开,在文件中输入"01";(文件内容无银号),或者使用命令$echo 01>serial (注意确认serial文件内容为01,并且无引号)。
5.产生CA私钥
genrsa -out private\ca.key -rand private\.rnd 2048
genrsa -out private\ca.key -rand private\.rnd -des3 2048 (生成des3加密的私钥文件)
生成2048位的私钥文件,为保障安全使用第二种,用des3加密。

其他相关命令
rsa -noout -text -in ca.key //查看私钥
rsa -in ca.key -out ca.key.unsecure //生成一个不需要口令保护的私钥,不推荐

6.修改配置文件

将$OPENSSL_HOME下的apps\openssl.cnf拷贝到CARoot目录下,然后修改CA的配置文件
修改openssl.cnf文件

将下面部分修改:
[ CA_default ]

dir   = ./demoCA   # Where everything is kept
certs   = $dir/certs   # Where the issued certs are kept
crl_dir   = $dir/crl   # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts   # default place for new certs.

certificate = $dir/cacert.pem # The CA certificate
serial   = $dir/serial    # The current serial number
crl   = $dir/crl.pem    # The current CRL
private_key = $dir/private/cakey.pem# The private key
RANDFILE = $dir/private/.rand # private random number file

修改后
RANDFILE   = $ENV::HOME/private/.rnd
(修改默认的随机数文件的位置)

[ CA_default ]

dir   = ./   # Where everything is kept
certs   = $dir/certs   # Where the issued certs are kept
crl_dir   = $dir/crl   # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts   # default place for new certs.

certificate = $dir/private/ca.crt # The CA certificate
serial   = $dir/serial    # The current serial number
crl   = $dir/crl.cer   # The current CRL
private_key = $dir/private/ca.key# The private key
RANDFILE = $dir/private/.rnd # private random number file

7.生成CA证书
req -new -x509 -days 3650 -key private\ca.key -out private\ca.crt -config openssl.cnf
(查看证书文件:x509 -in cacert.pem -text -noout)

8.创建CA的自签名证书
genrsa -out certs\cert.key -rand private\.rnd -des3 2048
(查看私钥文件rsa -in cert.key -noout -text)
req -new -x509 -days 3650 -key certs\cert.key -out certs\cert.crt -config openssl.cnf


ca -ss_cert certs\cert.crt -config openssl.cnf -policy policy_anything -out certs\signedcert.crt
选项ss_cert 表明是自签名证书

证书格式说明:
windows不能识别pem文件格式,能够识别crt文件,单纯的将后缀名改变,windows也是不能识别的,
打开签名后的证书(pem文件格式,尽管后缀名为crt),保留BEGIN CERTIFICATE and the END CERTIFICATE之间的内容,删除其他内容,windows就能够识别了。
(windows的证书crt格式就是
-----BEGIN CERTIFICATE-----
证书内容
-----END CERTIFICATE-----

将PEM证书装换成DER证书
$ openssl x509 -in tom.crt -out cert.der -outform DER


如果创建证书失败,失败后重做的方法:
serial文件中删除证书序列号
index.txt数据库文件中删除该证书的条目
重新创建证书就可以了

===================================================================
生成其他用户证书
1、生成证书请求
OpenSSL> req -newkey rsa:1024 -keyout testkey.pem -out testreq.pem -rand private\.rnd -config openssl.cnf
(查看证书请求:req -in testreq.pem -text -noout)


2、使用证书请求签发证书
ca -in testreq.pem -policy policy_anything -config openssl.cnf
-policy policy_anything 使用这个CP签发证书
默认的是policy_match 要求countryName,State,Organization必须匹配
ca -in testreq.pem -days 730 policy policy_anything -config openssl.cnf
生成的证书在newcerts目录下 xxx.pem
===================================================================
其他可能会用到的相关操作:

撤销证书
copy newcerts\02.pem test.pem (拷贝一个证书副本进行撤销)
ca -revoke test.pem -config openssl.cnf

产生CRL
OpenSSL> ca -gencrl -out crl041012.crl -config openssl.cnf
(查看CRL文件:crl -in crl041012.crl -text -noout)

使用CA根证书验证CRL
OpenSSL> crl -in crl041012.crl -noout -CAfile private\ca.crt

分享到:
| 查看oracle主外键关系
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics