OPENSSL操作(CA证书)

  • 格式:doc
  • 大小:288.50 KB
  • 文档页数:6

OpenSSL操作步骤
第 1 部分 OpenSSL实践
切换到/etc/pki/CA/目录
(1) 创建CA私钥:
openssl genrsa -out private/ca.key 1024

(2) 加密CA私钥(保护私钥信息):
openssl rsa -in ca.key -out cakey.pem

(3) 创建CA自签名证书(使用上一步创建的CA私钥来签名):
openssl req -new -days 365 -x509 -key private/ca.key -out cacert.pem

(4) 创建服务器私钥:
openssl genrsa -des3 -out private/server.key 1024
(5) 加密服务器私钥(保护私钥信息):
openssl rsa -in private/server.key -out private/serverkey.pem

(6) 创建申请服务器所需证书的请求:
openssl req -new -days 365 -key server.key -out server.csr

(7) CA私钥和序列号文件demoCA/serial, demoCA/index.txt
mkdir certs crl newcerts
touch index.txt serial
echo 01 > serial
(8) CA签署服务器证书:
openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in server.csr -out
server.pem

(9) 转换证书格式:
openssl x509 -in server.pem -out certs/server.crt

openssl x509 -in cacert.pem -out certs/cacert.crt

(10) 产生Java客户端私钥文件:
keytool -genkey -keyalg RSA -alias ztyHotelService -keystore ztyHotelService.jks
-storepass f1l89rmy -storetype jks
(11) 产生Java客户端证书请求:
keytool -certreq -alias ztyHotelService -keyalg RSA -file ztyHotelService.csr -keystore
ztyHotelService.jks

(12) CA签署Java客户端证书:
openssl ca -days 365 -keyfile private/ca.key -cert cacert.pem -outdir ./ -in
ztyHotelService.csr -out ztyHotelService.pem

(13) 转换格式:
openssl x509 -in ztyHotelService.pem -out certs/ztyHotelService.cer
(14) 导入CA证书到jks文件并信任之(由此CA所签署的所有证书也因此在信任之列):
keytool -import -alias root -trustcacerts -file certs/cacert.crt -keystore ztyHotelService.jks

(15) 导入自己的证书到jks文件(至此,此jks文件包括了建立SSL连接所需所有信息):
keytool -import -alias ztyHotelService -trustcacerts -file certs/ztyHotelService.cer
-keystore ztyHotelService.jks

(16) 转换成pkcs12格式,为客户端安装所用
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx
第 2 部分 错误信息
➢ 服务器私钥密码输入错误: