openssl制作证书全过程 + 部分修改

一：生成CA证书 

 

目前不使用第三方权威机构的CA来认证，自己充当CA的角色。  

 

先决条件：从openssl官网下载www.openssl.org

               安装openssl[windows和linux安装不同]

 

开始生成证书和密钥

 

如果没有配置环境变量，则需要进入openssl的bin目录下执行命令，如：C:/OpenSSL/bin，，，这个不对了，我下载的是最新的openssl-0.9.8zc，没有bin,目录，测试了下，

可以在win7下直接用C:\Users\xia\Desktop\https\openssl-0.9.8zc这个目录执行，

 

若只配置了环境变量，则在任意位置都可以执行

 

在执行命令前，新建两个目录ca和server,这个要注意哦，在openssl-0.9.8zc这个里面创建

 

1.       创建私钥 ： 

 

C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024  

 

2.创建证书请求 ： 

 

C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem  

 

这句执行出错啦，结果出现了这个错误:Unable to load config info from /usr/local/ssl/openssl.cnf

 

百度了一下，按照后面蓝色这一段执行就OK

原来是直接使用了别人生成好的密钥，可惜他是在Unix上用的，不适合Win32！没有办法，从新开始整openSSO,但是呢，在使用openSSO的时候，出现了 [Unable to load config info from /usr/local/ssl/openssl.cnf ] 异常.然原来这是Unix的默认设置，没有办法，只好建文件[c:/usr/local/ssl]，从网上下载openssl.conf，然后改为openssl.cnf，置于c:/usr/local/ssl目录下，好了，终于搞定密钥了，Apache也可以启动了，庆祝一下。 
    访问https://localhost/login，是白屏，是没有启动Apache的SSL，在CMD下运行apache -D SSL,OK，一切都搞定了。
   一些优化的方法，就是在ssl.conf文件中，注释掉<IfDefine SSL>，就可以直接启动SSL了。

在配置中，还有一些问题，比如，[ Invalid SSLMutex argument file:logs/dd (Valid SSLMutex mechanisms are: `none',
default' )]，这是Apache的一个Bug，只能使用default或者none.

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:root 

 

Email Address []:sky 

 

上面的参数都是随意写的，但是我的多了需要请求的密码，必须是4位，设置为test

 

3.自签署证书 ： 

3650  是设置10年的证书有效期，基本够用了

C:/OpenSSL/bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650  

 

4.将证书导出成浏览器支持的.p12格式 ： (不需要可以省略)

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12  

 

密码：changeit       ，我的继续设置为test

 

二.生成server证书。  

 

1.创建私钥 ： 

 

C:/OpenSSL/bin>openssl genrsa -out server/server-key.pem 1024  

 

2.创建证书请求 ： 

 

C:/OpenSSL/bin>openssl req -new -out server/server-req.csr -key server/server-key.pem  

 

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:192.168.1.246   注释：一定要写服务器所在的ip地址 

 

Email Address []:sky 

 

还是要输入密码。密码继续test

 

3.自签署证书 ： 

 

C:/OpenSSL/bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  

 

4.将证书导出成浏览器支持的.p12格式 ： 

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12  

 

密码：changeit 

 

三.生成client证书。  我使用的是https服务端有证书，客户端不需要证书，所以这一步不需要

 

1.创建私钥 ： 

 

C:/OpenSSL/bin>openssl genrsa -out client/client-key.pem 1024  

 

2.创建证书请求 ： 

 

C:/OpenSSL/bin>openssl req -new -out client/client-req.csr -key client/client-key.pem 

 

----- 

 

Country Name (2 letter code) [AU]:cn 

 

State or Province Name (full name) [Some-State]:zhejiang 

 

Locality Name (eg, city) []:hangzhou 

 

Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision 

 

Organizational Unit Name (eg, section) []:test 

 

Common Name (eg, YOUR name) []:sky 

 

Email Address []:sky      注释：就是登入中心的用户（本来用户名应该是Common Name，但是中山公安的不知道为什么使用的Email Address，其他版本没有测试） 

 

Please enter the following 'extra' attributes 

 

to be sent with your certificate request 

 

A challenge password []:123456 

 

An optional company name []:tsing  

 

3.自签署证书 ： 

 

C:/OpenSSL/bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650  

 

4.将证书导出成浏览器支持的.p12格式 ： 

 

C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12  

 

密码：changeit 

 

 

四.根据ca证书生成jks文件  注意，这里换成了C:\Program Files (x86)\Java\jdk1.6.0\bin ，调用JDK的keytool  工具

 

C:/Java/jdk1.5.0_09/bin > keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem  

 

五.配置tomcat ssl 

 

修改conf/server.xml。tomcat6中多了SSLEnabled="true"属性。keystorefile, truststorefile设置为你正确的相关路径  

 

xml 代码 

 

 tomcat 5.5的配置： 

 

<Connector port="8443" maxHttpHeaderSize="8192" 

 

             maxThreads="150" minSpareThreads="25" maxSpareThreads="75" 

 

             enableLookups="false" disableUploadTimeout="true" 

 

             acceptCount="100" scheme="https" secure="true" 

 

             clientAuth="true" sslProtocol="TLS"  

 

             keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"  

 

             truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />   

 

tomcat6.0的配置： 

 

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" 

 

               maxThreads="150" scheme="https" secure="true" 

 

               clientAuth="true" sslProtocol="TLS" 

 

               keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"  

 

               truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/> 

 

六.导入证书 

 

将ca.p12，client.p12分别导入到IE中去（打开IE->;Internet选项->内容->证书）。  

 

ca.p12导入至受信任的根证书颁发机构，client.p12导入至个人 

 

  

 

七.验证ssl配置是否正确访问你的应用http://ip:8443/，如果配置正确的话会出现请求你数字证书的对话框。