生成证书
在配置HTTPS监听时,您可以使用自签名的CA证书,并且使用该CA证书为客户端证书签名。
使用Open SSL生成CA证书
运行以下命令在/root目录下新建一个ca文件夹,并在ca文件夹下创建四个子文件夹。 $ sudo mkdir ca- $ cd ca
- $ sudo mkdir newcerts private conf server
- newcerts目录将用于存放CA签署过的数字证书。
- private目录用于存放CA的私钥。
- conf目录用于存放一些简化参数用的配置文件。
- server目录存放服务器证书文件。
在 conf目录下新建一个包含如下信息的openssl.conf文件。
- [ ca ]
- default_ca = foo
- [ foo ]
- dir = /root/ca
- database = /root/ca/index.txt
- new_certs_dir = /root/ca/newcerts
- certificate = /root/ca/private/ca.crt
- serial = /root/ca/serial
- private_key = /root/ca/private/ca.key
- RANDFILE = /root/ca/private/.rand
- default_days = 365
- default_crl_days= 30
- default_md = md5
- unique_subject = no
- policy = policy_any
- [ policy_any ]
- countryName = match
- stateOrProvinceName = match
- organizationName = match
- organizationalUnitName = match
- localityName = optional
- commonName = supplied
- emailAddress = optional
运行以下命令生成私钥key文件。
- $ cd /root/ca
- $ sudo openssl genrsa -out private/ca.key
运行结果如下图所示。
运行以下命令并按提示输入所需信息,然后按下回车键生成证书请求csr文件。
$ sudo openssl req -new -key private/ca.key -out private/ca.csr
注意:Common Name需要输入负载均衡的域名。
运行以下命令生成凭证crt文件。
$ sudo openssl x509 -req -days 365 -in private/ca.csr -signkey private/ca.key -out private/ca.crt
运行以下命令为CA的key设置起始序列号,可以是任意四个字符。
$ sudo echo FACE > serial
运行以下命令创建CA键库。
$ sudo touch index.txt
运行以下命令为移除客户端证书创建一个证书撤销列表。
$ sudo openssl ca -gencrl -out /root/ca/private/ca.crl -crldays 7 -config "/root/ca/conf/openssl.conf"
输出为:
Using configuration from /root/ca/conf/openssl.conf
为客户端证书签名
运行以下命令在ca目录内创建一个存放客户端key的目录users。
$ sudo mkdir users
运行以下命令为客户端创建一个key。
$ sudo openssl genrsa -des3 -out /root/ca/users/client.key 1024
注意:创建key时要求输入pass phrase,这个是当前key的口令,以防止本密钥泄漏后被人盗用。两次输入同一个密码。
运行以下命令为客户端key创建一个证书签名请求csr文件。
$ sudo openssl req -new -key /root/ca/users/client.key -out /root/ca/users/client.csr
输入该命令后,根据提示输入上一步输入的pass phrase,然后根据提示输入对应的信息。
注意: A challenge password是客户端证书口令。注意将它和client.key的口令进行区分。
运行以下命令使用CA证书的key为客户端key签名。
$ sudo openssl ca -in /root/ca/users/client.csr -cert/root/ca/private/ca.crt -keyfile /root/ca/private/ca.key -out/root/ca/users/client.crt -config "/root/ca/conf/openssl.conf"
当出现确认是否签名的提示时,两次都输入y。
运行以下命令将证书转换为PKCS12文件。
$ sudo openssl pkcs12 -export -clcerts -in/root/ca/users/client.crt -inkey /root/ca/users/client.key -out/root/ca/users/client.p12
按照提示输入客户端client.key的pass phrase。再输入用于导出证书的密码。这个是客户端证书的保护密码,在安装客户端证书时需要输入这个密码。
运行以下命令查看生成的客户端证书。 cd users- ls
展开
收起
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
相关问答
问答排行榜
最热
最新
推荐问答
