Linux下openSSL安裝並頒發證書
阿新 • • 發佈:2020-09-19
一、openssl檢查安裝
1、檢視系統是否安裝:openssl version -a
2、ubontu系統安裝:
sudo apt-get install openssl
sudo apt-get install libssl-dev
3、centos系統安裝:
1 //解壓openssl安裝包 2 tar xvzf openssl-1.0.0d.tar.gz 3 //進入解壓後的目錄 4 cd openssl-1.0.0d 5 //修改openssl配置檔案 6 ./configure --prefix=/usr/local/openssl 7 //編譯程式碼 8 make9 //安裝 10 make install 11 //安裝curses.h標頭檔案的庫 12 sudo apt-get install libncurses5-dev
二、頒發證書
ca.crt 為自簽名證書;
server.crt,server.key 為伺服器端的證書和私鑰檔案;
proxy.crt,proxy.key 為代理伺服器端的證書和私鑰檔案;
client.crt,client.key 為客戶端的證書和私鑰檔案。
1、生成根證書私鑰
1 openssl genrsa -out /home/ssl/CA/ca.key 2 3 #利用私鑰生成一個根證書的申請,一般證書的申請格式都是csr。所以私鑰和csr一般需要儲存好4 openssl req -new -key /home/ssl/CA/ca.key -out /home/ssl/CA/ca.csr 5 6 #自簽名的方式簽發我們之前的申請的證書,生成的證書為ca.crt 7 openssl x509 -req -days 3650 -in /home/ssl/CA/ca.csr -signkey /home/ssl/CA/ca.key -out /home/ssl/CA/ca.crt 8 9 #為我們的證書建立第一個序列號,一般都是用4個字元,這個不影響之後的證書頒發等操作 10 echo FACE > /home/ssl/CA/serial 11 12 #建立ca的證書庫,不影響後面的操作,預設配置檔案裡也有儲存的地方13 touch /home/ssl/CA/index.txt 14 15 #建立證書回收列表儲存失效的證書 16 openssl ca -gencrl -out /home/ssl/CA/ca.crl -crldays 7 17
2、生成伺服器證書
1 #建立伺服器驗證證書的私鑰 2 openssl genrsa -out /home/ssl/server/server.key 3 4 #生成證書申請檔案 5 openssl req -new -key /home/ssl/server/server.key -out /home/ssl/server/server.csr 6 7 #利用根證書籤發伺服器身份驗證證書 8 openssl ca -in /home/ssl/server/server.csr -cert /home/ssl/ca.crt -keyfile /home/ssl/ca.key -out /home/ssl/server/server.crt 9 10 #至此,伺服器端身份認證證書已經完成,可以利用證書和私鑰生成pfx格式的證書給微軟使用,命令如下: 11 openssl pkcs12 -export -clcerts -in /home/ssl/server/server.crt -inkey /home/ssl/server/server.key -out
3、生成客戶端證書
1 #生成私鑰 2 openssl genrsa -des3 -out /home/ssl/client/client.key 1024 3 4 #生成證書請求檔案 5 openssl req -new -key /home/ssl/client/client.key -out /home/ssl/client/cient.csr 6 7 #簽發證書 8 openssl ca -in /home/ssl/client/client.csr -cert /home/ssl/ca.crt -keyfile /home/ssl/client/client.crt 9 10 #客戶端證書完成