OpenSSl生成证书及使用

其他 2019-03-13 21:38:04 阅读次数: 0 
 

注:测试浏览器IE8以上版本


一:生成CA证书 
目前不使用第三方权威机构的CA来认证,自己充当CA的角色。  

 openssl中有如下后缀名的文件
.key格式:私有的密钥
.csr格式:证书签名请求(证书请求文件),含有公钥信息,certificate signing request的缩写
.crt格式:证书文件,certificate的缩写
.crl格式:证书吊销列表,Certificate Revocation List的缩写
.pem格式:用于导出,导入证书时候的证书的格式,有证书开头,结尾的格式

网上下载一个openssl软件 
1.创建私钥: (此时会创建一个密钥对,即一个公钥一个私钥)
C:\OpenSSL\bin>openssl genrsa -out ca/sotech.key 2048
2.创建证书请求 : 这里将生成一个新的文件cert.csr,即一个证书请求文件,你可以拿着这个文件去数字证书颁发机构(即CA)申请一个数字证书。CA会给你一个新的文件cacert.pem,那才是你的数字证书。
C:\OpenSSL\bin>openssl req -new -key ca/sotech.key -out ca/sotech.csr
----- 
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:LN
Locality Name (eg, city) []:DL
Organization Name (eg, company) [Internet Widgits Pty Ltd]:SOTECH
Organizational Unit Name (eg, section) []:HQ
Common Name (eg, YOUR name) []:SOTECH
Email Address []:ruizhilive@163.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:x1ex5GjG
An optional company name []:x1ex5GjG

3.自签署证书 : 
生成cer文件
C:\OpenSSL\bin>openssl x509 -req -in ca/sotech.csr -signkey ca/sotech.key -days 10950 -out ca/sotech.cer
-days 3650 控制有效期限为3650天,默认为30天。
      
二.生成server证书。  
1.创建私钥 : 
C:\OpenSSL\bin>openssl genrsa -out server/server_30.key 2048  
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -key server/server_30.key -out server/server_30.csr 
----- 
Country Name (2 letter code) [AU]:CN 
State or Province Name (full name) [Some-State]:LN 
Locality Name (eg, city) []:AS 
Organization Name (eg, company) [Internet Widgits Pty Ltd]:AK 
Organizational Unit Name (eg, section) []:IT 
Common Name (eg, YOUR name) []:10.18.88.66   注释:一定要写服务器所在的ip地址localhost   
Email Address []:ruizhilive@163.com 

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:46ZHzJc1
An optional company name []:46ZHzJc1
3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in server/server_30.csr -signkey server/server_30.key -CA ca/sotech.cer -CAkey ca/sotech.key -CAcreateserial -days 10950 -out server/server_30.pem  
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in server/server_30.pem -inkey server/server_30.key -out server/server_30.p12  
密码: 46ZHzJc1

三.生成client证书。  
1.创建私钥 :admin 
C:\OpenSSL\bin>openssl genrsa -out client/client_admin.key 2048
2.创建证书请求 : 
C:\OpenSSL\bin>openssl req -new -key client/client_admin.key -out client/client_admin.csr
----- 
Country Name (2 letter code) [AU]:CN 
State or Province Name (full name) [Some-State]:LN
Locality Name (eg, city) []:AS
Organization Name (eg, company) [Internet Widgits Pty Ltd]:AK
Organizational Unit Name (eg, section) []:IT
Common Name (eg, YOUR name) []:admin
Email Address []:ruizhilive@163.com

Please enter the following 'extra' attributes 
to be sent with your certificate request 
A challenge password []:46ZHzJc1
An optional company name []:46ZHzJc1 

3.自签署证书 : 
C:\OpenSSL\bin>openssl x509 -req -in client/client_admin.csr -signkey client/client_admin.key -CA ca/sotech.cer -CAkey ca/sotech.key -CAcreateserial -days 10950 -out client/client_admin.pem
4.将证书导出成浏览器支持的.p12格式 : 
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in client/client_admin.pem -inkey client/client_admin.key -out client/client_admin.p12
密码: changeit

四.根据ca证书生成jks文件  
C:\OpenSSL\bin>"C:\Program Files\Java\jdk1.7.0_80\bin\keytool" -keystore C:\openssl\bin\jks\truststore.jks -keypass 46ZHzJc1 -storepass 46ZHzJc1 -alias sotech -import -trustcacerts -file C:\openssl\bin\ca\sotech.cer  
五.配置tomcat ssl 
修改conf/server.xml。tomcat7中多了SSLEnabled="true"属性。keystorefile, truststorefile设置为你正确的相关路径,或者直接复制到C:\apache-tomcat-7.0.75目录下

tomcat7的配置:           
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS"
               keystoreFile="server_30.p12" keystorePass="46ZHzJc1" keystoreType="PKCS12"
               truststoreFile="truststore.jks" truststorePass="46ZHzJc1" truststoreType="JKS" />         

六.导入证书 
将sotech.p12,client_admin.p12分别导入到IE中去(打开IE->;Internet选项->内容->证书)。  
sotech.p12导入至受信任的根证书颁发机构, client_admin.p12导入至个人 
七.验证ssl配置是否正确访问你的应用https://localhost:8443/,如果配置正确的话会出现请求你数字证书的对话框。 


另: web.xml   
<login-config> 
        <!-- Authorization setting for SSL --> 
        <auth-method>CLIENT-CERT</auth-method> 
        <realm-name>Client Cert Users-only Area</realm-name> 
</login-config> 

SSL的授权设置(window环境写不写都可以,待研究)
<security-constraint> 
        <!-- Authorization setting for SSL --> 
        <web-resource-collection> 
            <web-resource-name>SSL</web-resource-name> 
            <url-pattern>/SSL/*</url-pattern> 
        </web-resource-collection> 
        <user-data-constraint> 
            <transport-guarantee>CONFIDENTIAL</transport-guarantee> 
        </user-data-constraint> 
</security-constraint>

猜你喜欢

转载自www.cnblogs.com/mwd-banbo/p/10526400.html
今日推荐
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
【转】spring中对控制反转和依赖注入的理解
tms webcore 安装和使用
java程序员进阶相关书籍
SpringMVC接受请求参数、
如何保存训练好的机器学习模型
MyEclipse、Eclipse设置项目JDK的三个地方
商超行业微信小程序开发定制一般多少钱 (行业技术人员解读)
Markdown编辑器语言——30分钟入门到到精通
Linux系统下MongoDB的简单安装与基本操作
Power Strings
每日归档
更多
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022