本文記錄linux環境和windows環境下CA證書的辦法過程

一：linux環境下頒發CA證書

首先需要安裝openssl。

首先需要利用openssl生成根證書，以後的伺服器端證書或者客戶端證書都用他來簽發，可以建立多個根證書。

在CentOS6.3上安裝Openssl的命令如下：
yum install openssl-devel
注意在安裝的時候要安裝“openssl-devel”，而不是“openssl”。
安裝成功之後可以使用如下命令檢視openssl的版本：
[[email protected]~]# openssl version
OpenSSL1.0.1e-fips 11 Feb 2013

第一步

1，生成根證書的私鑰
$ openssl genrsa -out /home/ca/ca.key

2 利用私鑰生成一個根證書的申請，一般證書的申請格式都是csr。所以私鑰和csr一般需要儲存好

$ openssl req -new -key /home/ca/ca.key -out /home/ca/ca.csr

3 自簽名的方式簽發我們之前的申請的證書，生成的證書為ca.crt。

openssl x509 -req -days 3650 -in /home/ca/ca.csr -signkey /home/ca/ca.key -out /home/ca/ca.crt

4 為我們的證書建立第一個序列號，一般都是用4個字元，這個不影響之後的證書頒發等操作

echo FACE（01） > /home/ca/serial。

5 建立ca的證書庫，不影響後面的操作，預設配置檔案裡也有儲存的地方。

touch /home/ca/index.txt

6 建立證書回收列表儲存失效的證書

openssl ca -gencrl -out /home/ca/ca.crl -crldays 7

---已上就完成了根證書的相關操作，下一步可以頒發證書了。

---生成和簽發伺服器身份驗證證書，注意證書是自簽名的，瀏覽器會提示不受信任

第二步

1，建立伺服器驗證證書的私鑰

openssl genrsa -out /home/ca/server.key

2，生成證書申請檔案，製作簽發證書的請求檔案時，需要輸入Common Name引數，此引數一定為當前主機的IP地址，否則將會顯示證書錯誤。

openssl req -new -key /home/ca/server.key -out /home/ca/server.csr

3，利用根證書籤發伺服器身份驗證證書

openssl ca -in /home/ca/server.csr -cert /home/ca/ca.crt -keyfile /home/ca/ca.key -out /home/ca/server.crt

第三步  簽發客戶端身份認證證書

1，生成私鑰

openssl genrsa -des3 -out /home/ca/users/1/1.key 1024

2，生成證書請求檔案

openssl req -new -key /home/ca/users/1/1.key -out /home/ca/users/1/1.csr

3，簽發證書

openssl ca -in /home/ca/user/1/1.csr -cert /home/ca/ca.crt -keyfile /home/lengshan/ca.key -out /home/ca/user/1/1.crt

客戶端證書完成，注意如果在web伺服器上使用客戶端證書，需要在web伺服器上使用根證書對客戶端進行驗證，切記！

製作過程中遇到的異常以及解決方法：:

1：unable to open '/etc/pki/CA/index.txt'

解決辦法：touch /etc/pki/CA/index.txt

二：windows環境下籤發CA證書

windows環境下使用jdk自帶的keytool頒發證書

1：在cmd視窗使用如下命令

keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/tomcat

注：名字姓氏答案 填寫 伺服器的ip或者域名

2：匯出證書

keytool -export -file d:/keys/tomcat.crt -alias wsria -keystore d:/keys/tomcat

--------------------- 本文來自 大大小白菜 的CSDN 部落格 ，全文地址請點選：https://blog.csdn.net/z344945251/article/details/72870129?utm_source=copy