利用OpenSSL创建证书链并应用于IIS7
一、系统环境说明
- Linux & OpenSSL
1 Linux localhost 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux 2 [root@localhost /home/study]#openssl version 3 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
- Windows & IIS
Windows 7 X64 , IIS 7, 默认网站
二、创建密钥链
注意:请先看一下最后的注意事项,避免走弯路。
1. 创建根证书(自签名证书)
1 echo "create root ca key" 2 openssl genrsa -out root-key.key 1024 3 echo ---------------------- 4 echo "create root cert request" 5 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA" 6 echo ---------------------- 7 echo "create root self sign cert" 8 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days 3650 -text -extfile openssl.cnf -extensions v3_ca
2. 创建中级证书(利用RootCA私钥签名)
1 echo "create 2 level cert key" 2 openssl genrsa -des3 -out root-mid.key 1024 3 echo ---------------------- 4 echo "create 2 level cert csr" 5 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA" 6 echo ---------------------- 7 echo "sign with root-crt" 8 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial -days 3650 -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca
3. 创建服务器证书(利用中级证书私钥签名)
(使用openssl创建申请:openssl req -out server.csr -new -sha256 -newkey rsa:2048 -nodes -keyout server.key)
证书申请创建:
1 #在IIS中“创建证书申请”文件,拷贝到Linux系统中(假设名称为Server.csr) 2 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days 3560 -out Server.crt -text -extfile openssl.cnf -extensions v3_ca
4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中
5. 导入RootCA.crt导入到“受信任的根证书颁发机构”,MidCA.crt导入到“中级证书颁发机构” --- 都是本地计算机
6. 执行“完成证书申请步骤”,绑定网站到SSL,并指定证书为Server.crt的友好名称
7. 访问https://ip即可进行验证。
三、注意事项
1. 当证书签发超过两级时,在IE中查看证书是会出现如下“因为证书路径中的证书颁发机构似乎没有颁发证书的权限或不能被用作终端实体证书,证书无效”错误,修改openssl默认配置即可(默认配置在v3_ca配置节,路径/etc/pki/tls/openssl.cnf)。
1 # This is what PKIX recommends but some broken software chokes on critical 2 # extensions. 3 #basicConstraints = critical,CA:true 4 # So we do this instead. 5 #basicConstraints = CA:true 6 # xwliu 7 basicConstraints = CA:true,pathlen:3
四、参考资料
关于数字证书的概念请参考以下链接:
<http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>
关于证书与证书链的高层次理解请参考如下链接:
<http://lukejin.iteye.com/blog/587200>
其他参考资料:
<http://firefly.iteye.com/blog/674208>
<http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>
CRT转PEM:openssl x509 -in server.crt -out server.pem
PFX转PEM:openssl pkcs12 -in server.pfx -out server.pem -nodes
****************转载请注明出处******************
