openssl环境的安装和配置不是本文讲述重点,请自行百度。
生成证书之前,需要先生成一个随机数:
openssl rand -out .rand 1000
说明:
rand——生成随机数
-out——指定输出文件
1000——指定随机数长度生成根证书
1、生成根证书私钥(pem文件)
openssl通常使用PEM(Privacy Enbanced Mail)格式来保存私钥,构建私钥的命令如下:
openssl genrsa -aes256 -out cakey.pem 1024
说明:
genrsa——使用RSA算法产生私钥
-aes256——使用256位密钥的AES算法对私钥进行加密
-out——输出文件的路径
1024——指定私钥长度2、生成根证书签发申请文件(csr文件)
使用上一步生成的私钥(pem文件),生成证书请求文件(csr文件):
openssl req -new -key cakey.pem -out ca.csr -subj \
"/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"
说明:
req——执行证书签发命令
-new——新证书签发请求
-key——指定私钥路径
-out——输出的csr文件的路径
-subj——证书相关的用户信息(subject的缩写)3、自签发根证书(cer文件)
csr文件生成以后,可以将其发送给CA认证机构进行签发,这里我们使用openssl对该证书进行自签发:
openssl x509 -req -days 365 -sha1 -extensions v3_ca -signkey cakey.pem -in ca.csr -out ca.cer
说明:
x509——生成x509格式证书
-req——输入csr文件
-days——证书的有效期(天)
-sha1——证书摘要采用sha1算法
-signkey——签发证书的私钥
-in——要输入的csr文件
-out——输出的cer证书文件
使用的-extensions值为v3_ca,v3_ca中指定的basicConstraints的值为CA:TRUE,表示该证书是颁发给CA机构的证书,如图:?
?
用根证书签发下级证书
1、生成下级证书私钥
openssl genrsa -aes256 -out child-key.pem 10242、生成下级证书请求文件
openssl req -new -key child-key.pem -out child.csr -subj \
"/C=CN/ST=myprovince/L=mycity/O=myorganization/OU=mygroup/CN=myname"
3、使用根证书签发下级证书
openssl x509 -req -days 365 -sha1 -extensions v3_req -CA ca.cer -CAkey cakey.pem \
-CAserial ca.srl -CAcreateserial -in child.csr -out child.cer
说明:
-CA——指定CA证书的路径
-CAkey——指定CA证书的私钥路径
-CAserial——指定证书序列号文件的路径
-CAcreateserial——表示创建证书序列号文件(即上方提到的serial文件),创建的序列号文件默认名称为-CA,指定的证书名称后加上.srl后缀
这里指定的-extensions的值为v3_req,在OpenSSL的配置中,v3_req配置的basicConstraints的值为CA:FALSE,如图:
??在x509指令中,有多种方式可以指定一个将要生成证书的序列号,可以使用set_serial选项来直接指定证书的序列号,也可以使用-CAserial选项来指定一个包含序列号的文件。所谓的序列号是一个包含一个十六进制正整数的文件,在默认情况下,该文件的名称为输入的证书名称加上.srl后缀,比如输入的证书文件为ca.cer,那么指令会试图从ca.srl文件中获取序列号,可以自己创建一个ca.srl文件,也可以通过-CAcreateserial选项来生成一个序列号文件。
