双向证书生成步骤:
管理员打开控制台
服务端:
1.跳转到OpenSSL的bin目录
cd /d D:\ProgramFiles\GnuWin32\bin
2.生成RSA服务端私钥(使用aes256加密,2048位):
openssl genrsa -aes256 -passout pass:123456 -out server.key 2048
3.把 RSA服务端私钥(*.key) 转换成 PKCS8 服务端私钥(*.pem)
openssl pkcs8 -topk8 -nocrypt -in server.key -out server.pem
(键入私钥密码)
4.PKCS8服务单私钥(*.pem) 生成 服务端可信证书文件(*.crt)
openssl req -new -x509 -days 3650 -key server.pem -out server_trust_cert.crt
(键入国家缩写)
(键入州或省全称)
(键入城市或地区全称)
(键入组织名)
(键入单位名)
(键入个人名字)
(键入邮件地址)
5.服务端可信证书文件(*.crt) 转换成 服务端端证书根\证书链文件(*.pem)
openssl x509 -in server_trust_cert.crt -out server_key_cert_chain.pem -outform PEM
客户端:
6.服务端私钥生成对应客户端私钥,需要提供密码:
openssl rsa -in server.key -passin pass:123456 -out client.key
7.把RSA客户端私钥(*.key)转换成PKCS8客户端私钥(*.pem)
openssl pkcs8 -topk8 -nocrypt -in client.key -out client.pem
8.PKCS8客户端私钥(*.pem) 生成 客户端可信证书文件(*.crt)
openssl req -new -x509 -days 3650 -key client.pem -out client_trust_cert.crt
(键入国家缩写)
(键入州或省全称)
(键入城市或地区全称)
(键入组织名)
(键入单位名)
(键入个人名字)
(键入邮件地址)
9. 客户端可信证书文件(*.crt) 转换成 客户端证书根\证书链文件(*.pem)
openssl x509 –in client_trust_cert.crt -out client_key_cert_chain.pem -outform PEM