利用openssl工具生成根證書及頒發子證書

2021-06-27 02:31:15 字數 1867 閱讀 9845

參考自:

使用opensll工具來生證書過程如下:

一 )  首先建立ca根證書

1) 生成rsa private key 給ca (3 des 加密, pem 格式):

$ openssl genrsa -des3 -out rootca.key 1024

2) 產生乙個x509結構,pem格式的自簽名證書(當然也可以由ca機構簽名)

$ openssl req -new -x509 -days 365 -key rootca.key -out rootca.crt

3) 檢視該根證書的詳細內容

$ openssl x509 -noout -text -in rootca.crt

4) 驗證證書有效性

$ openssl verify -cafile rootca.crt rootca.crt

第乙個為根證書,第二個為需要驗證的子證書,由於是自簽名,相當於自己給自己頒發的證書。

二 )  用根證書頒發子證書

1) 生成乙個3des 加密,pem格式的rsa private key .

$ openssl genrsa -des3 -out user.key 1024

2) 產生證書簽名請求檔案(pem格式)

$ openssl req -new -key user.key -out user.csr

3) 使用ca根證書簽名

a 生成配置檔案如下ca.config :

[ ca ]         

default_ca=ca_own         

[ ca_own ]         

dir=c:/openssl/bin         

certs=c:/openssl/bin                 

new_certs_dir=c:/openssl/bin         //生成子證書的目錄

database=c:/openssl/bin/index.txt    //生成子證書後會更新內容到此檔案     

serial=c:/openssl/bin/serial.txt     //子證書的序列號從此檔案讀取

certificate=c:/openssl/bin/rootca.crt   //根證書      

private_key=c:/openssl/bin/rootca.key   //根證書的私鑰

default_days=365         

default_crl_days=30         

default_md=md5         

preserve=no         

policy=policy_anything         

[ policy_anything ]         

countryname=optional         

stateorprovincename=optional         

localityname=optional         

organizationname=optional         

organizationalunitname=optional         

commonname=supplied         

emailaddress=optional      

b 執行如下命令來簽名

openssl ca -config ca.config -out user.crt -infiles user.csr

4) 驗證證書有效性

openssl verify -cafile rootca.crt user.crt

用rootca.crt的公鑰驗證user.crt的簽名是否合法。

利用OpenSSL生成證書檔案

利用openssl生成庫和命令程式,在生成的命令程式中包括對加 解密演算法的測試,openssl程式,ca程式.利用openssl,ca可生成用於c s模式的證書檔案以及ca檔案.下面以c s模式說明證書檔案的生成步驟 證書檔案生成 一.伺服器端 1.生成伺服器端的私鑰 key檔案 openssl ...

利用OpenSSL生成證書檔案的總結

利用openssl生成庫和命令程式,在生成的命令程式中包括對加 解密演算法的測試,openssl程式,ca程式.利用openssl,ca可生成用於c s模式的證書檔案以及ca檔案.下面以c s模式說明證書檔案的生成步驟 證書檔案生成 一.伺服器端 1.生成伺服器端的私鑰 key檔案 openssl ...

openssl生成CA根證書及子證書

生成根證書 1.生成ca秘鑰,得到ca.key openssl genrsa out ca.key 4096 2.生成ca證書簽發請求,得到ca.csr openssl req new key ca.key out ca.csr subj c cn st jiangsu l nanjing o ji...