admin 管理员组文章数量: 1184232
2024年4月24日发(作者:smart意思和读音)
x509证书链
x509证书一般会用到三类文件,key,csr,crt。
Key 是私用密钥,openssl格式,通常是rsa算法。
csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署
申请,还可以设定一个密钥。
crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你
签署的凭证。
1. key的生成
openssl genrsa -des3 -out 2048
这样是生成rsa私钥,des3算法,openssl格式,2048位强度。是密钥文件名。
为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
openssl rsa -in -out
就是没有密码的版本了。
2. 生成CA的crt
openssl req -new -x509 -key -out -days 3650
生成的文件是用来签署下面的文件。
3. csr的生成方法:
openssl req -new -key -out
需要依次输入国家,地区,组织,email。最重要的是,有一个common name,可以写你的
名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成
的csr文件交给CA签名后形成服务端自己的证书。
4. crt生成方法
CSR文件必须有CA的签名才可形成证书.可将此文件发送到verisign等地方由它验证,要交
一大笔钱,何不自己做CA呢.
openssl x509 -req -days 3650 -in -CA -CAkey -CAcreateserial -out
输入key的密钥后,完成证书生成。-CA选项指明用于被签名的csr证书,-CAkey选项
指明用于签名的密钥。-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时
自动生成。
最后生成了私用密钥:和自己认证的SSL证书:
tomcat实现SSL认证
按照以上方法证书生成后,我们再配置tomcat。首先将以上创建的证书拷贝到
tomcat主目录下的conf文件夹下。
1. 创建服务器信任的CA证书库:
把证书导入信任证书库,命令行模式进入tomcat主目录下的conf目录,执行
以下命令:
keytool -keystore -keypass 111111 -storepass 111111 -alias ca
-import -trustcacerts -file
可以用以下命令查看信任证书库内容:
keytool -keystore -keypass 111111 -storepass 111111 -list -v
2. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书):
修改tomcat的conf目录里的文件($TOMCAT_HOME/conf/),找到类
似下面内容的配置处,添加配置如下:
enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/tomcat.p12" keystorePass="111111" keystoreType="PKCS12" truststoreFile="conf/" truststoreType="JKS" /> truststorePass="111111" 其中,clientAuth指定是否需要验证客户端证书,如果该设置为“false”,则为单向SSL验证, SSL配置可到此结束。如果clientAuth设置为“true”,表示强制双向SSL验证,必须验证客 户端证书,但服务器不会颁发证书必须由客户端导入。如果clientAuth设置为“want”,则表 示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。 注意:浏览器的高级选型中要启用TLS加密方式。
版权声明:本文标题:openssl生成ssl证书 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.roclinux.cn/b/1713959760a659380.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论