ssl雙向驗證

2021-06-10 06:56:54 字數 2319 閱讀 7706

按照提示安裝,比較簡單,安裝完畢以後,在瀏覽器中輸入apache的ip位址或者網域名稱,如果能夠出現「it works!」(這是apache預設的乙個網頁\htdocs\index.html),說明安裝apache已經成功,這時已經可以提供預設為80埠的http服務了;

ø生成**伺服器公鑰檔案server.key :openssl genrsa-out server.key 1024

ø生成伺服器證書請求檔案server.csr:openssl req-new -out server.csr -key server.key -config ..\conf\openssl.cnf(common name為要申請網域名稱證書的網域名稱)

產生請求檔案需要輸入

期間有些需要輸入的地方分別如下:

enter pem pass phrase: (

輸入密碼

)verifying – enter pem pass phrase: (再次輸入密碼

)country name (2 letter code) [au]: (國家縮寫

)state or province name (full name) [some-state]: (省名

)locality name (eg, city) : (城市名

)organization name (eg, company) [internet widgits pty ltd]: (組織名或者公司名

)organizational unit name (eg, section) : (部門名

)common name (eg, your name) : (伺服器網域名稱或ip位址

)email address : (郵件位址

)please enter the following 『extra』 attributes

to be sent with your certificate request

a challenge password : (密碼

)an optional company name : (公司別名)

輸入密碼 ø

生成ca私鑰檔案ca.key :openssl genrsa -out ca.key 1024

ø生成ca證書:openssl req -new -x509 -days 365 -keyca.key -out ca.crt -config ..\conf\openssl.cnf

ø生成簽名以後的伺服器證書server.crt: openssl x509-req -in server.csr -out server.crt -ca ca.crt -cakey ca.key -cacreateserial

ø把server.crt,server.key,ca.crt檔案複製到/conf資料夾下面

ø把ca的證書(ca.crt)匯入瀏覽器。

若已有客戶證書並已匯入瀏覽器,可略過此步驟。 ø

生成客戶端證書 client.key

ø生成client.key :openssl genrsa-out client.key 1024

ø生成client.csr :openssl req-new -out client.csr -key client.key -config ..\conf\openssl.cnf

輸入密碼 ø

生成客戶證書 client.crt:

openssl x509 -req -days 365 -ca ca.crt -cakeyca.key -cacreateserial -in client.csr -out client.crt ø

將client.crt轉換為 .pfx 格式的證書

openssl pkcs12 -export -clcerts -inclient.crt -inkey client.key -out client.p12 ø

雙擊client.p12將其匯入瀏覽器。

1.1去掉下面語句的注釋,即去掉前面的

##loadmodule ssl_module modules/mod_ssl.so

1.2 去掉下面語句的注釋,目的是使用apache自帶的ssl配置檔案httpd-ssl.conf進行修改,減少我們的工作量。

sslcertificatefile conf/server.crt(伺服器證書路徑)

sslcertificatekeyfile conf/server.key (伺服器私鑰路徑)

sslcacertificatefile conf/ca.crt(ca證書路徑)

sslverifyclient require

sslverifydepth 1(此處根據ca證書證書級數配置,1為往上1級)

ssl雙向驗證

一般情況下ssl加密連線都只是單向認證,是客戶端驗證服務端的證書。例如常見的web服務,是客戶端驗證服務端的證書,防止遇到假冒的 正規的 都有權威機構簽名的證書,瀏覽器會幫助使用者校驗服務端的證書,如果證書是可信的,說明 是可信的可如果證書不可信,瀏覽器會有提示,提示一般在位址列前面有個鎖形符號。服...

SSL單雙向驗證原理

為了便於更好的認識和理解 ssl 協議,這裡著重介紹 ssl 協議的握手協議。ssl 協議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術。ssl 的握手協議非常有效的讓客戶和伺服器之間完成相互之間的身份認證,其主要過程如下 ...

ssl雙向認證

ssl雙向認證 ca.key 根證書的私鑰 ca.crt 根證書的簽名證書 server.key,server.crt client.key,client.crt 1 openssl ca.key,ca.crt 2 openssl server.key server.csrserver.crt 3 ...