x509
證書一般會用到三類文,
key,
csr,
crt。
key是私用金鑰
openssl
格,通常是
rsa演算法。
csr是證書請求檔案,用於申請證書。在製作
csr檔案的時,必須使用自己的私鑰來簽署申,還可以設定乙個金鑰。
crt是ca
認證後的證書文,(
windows
下面的,其實是
crt),簽署人用自己的
key給你簽署的憑證。
1.key
的生成openssl genrsa -des3 -out server.key 2048
這樣是生成
rsa私鑰,
des3
演算法,openssl
格式,2048
位強度。
server.key
是金鑰檔名。為了生成這樣的金鑰,需要乙個至少四位的密碼。可以通過以下方法生成沒有密碼的
key:
openssl rsa -in server.key -out server.key
server.key
就是沒有密碼的版本了。
2.生成ca的
crt
openssl req -new -x509 -key server.key -out ca.crt -days 3650
生成的ca.crt
檔案是用來簽署下面的
server.csr
檔案。3. csr
的生成方法
openssl req -new -key server.key -out server.csr
需要依次輸入國家,地區,組織,
。最重要的是有乙個
common name
,可以寫你的名字或者網域名稱。如果為了
申請,這個必須和網域名稱吻合,否則會引發瀏覽器警報。生成的
csr檔案交給
ca簽名後形成服務端自己的證書。
4. crt
生成方法
csr檔案必須有
ca的簽名才可形成證書,可將此檔案傳送到
verisign
等地方由它驗證,要交一大筆錢,何不自己做
ca呢。
openssl x509 -req -days 3650 -in server.csr -ca ca.crt -cakey server.key -cacreateserial -out server.crt 輸入
key的金鑰後,完成證書生成。
-ca選項指明用於被簽名的
csr證書,
-cakey
選項指明用於簽名的金鑰,
-caserial
指明序列號檔案,而
-cacreateserial
指明檔案不存在時自動生成。
最後生成了私用金鑰:
server.key
和自己認證的
ssl證書:
server.crt
證書合併:
cat server.key server.crt > server.pem
OpenSSL生成證書
要生成證書的目錄下建立幾個檔案和資料夾,有.democa democa newcerts democa index.txt democa serial,在serial檔案中寫入第乙個序列號 01 1.生成x509格式的ca自簽名證書 opensslreq new x509 keyout ca.key...
OpenSSL生成證書
1.生成x509格式的ca自簽名證書 opensslreq new x509 keyout ca.key out ca.crt 可以加證書過期時間選項 days 365 2.生成服務端的私鑰 key檔案 及csr 檔案 openssl genrsa des3 out server.key 1024 ...
OpenSSl 生成證書
y y y如果在簽發證書時候提示democa找不到,則需要修改如下配置 修改 openssl.cnf 的 dir 在 openssl.exe 目錄下 建立資料夾 democa democa newcerts democa private 建立空檔案 democa index.txt 建立檔案 dem...