linux下用openssl生成双向认证的证书

1)什么是数字证书？（百度百科）

　　数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，数字证书不是数字身份证，而是身份认证机构盖在数字身份证上的一个章或印（或者说加在数字身份证上的一个签名）。它是由权威机构——CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。

 

2)证书文件的生成步骤:

一、服务器端
1.生成服务器端的私钥(key文件);

openssl genrsa -des3 -out server.key 2048

运行时会提示输入密码,此密码用于加密key文件(参数des3是加密算法,也可以选用其他安全的算法),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果不要口令,则可用以下命令去除口令:

openssl rsa -in server.key -out server.key

2.生成服务器端证书签名请求文件(csr文件);

openssl req -new -key server.key -out server.csr

生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其 提示一步一步输入要求的信息即可(如:Country,province,city,company等).

 

二、客户端
1.对客户端也作同样的命令生成key及csr文件;

openssl genrsa -des3 -out client.key 2048
openssl req -new -key client.key -out client.csr

 

 

三、生成CA证书文件
server.csr与client.csr文件必须有CA的签名才可形成证书.

1.首先生成CA的key文件:

openssl genrsa -des3 -out ca.key 2048

2.生成CA自签名证书:

openssl req -new -x509 -key ca.key -out ca.crt

可以加证书过期时间选项 "-days 365".

 

四、利用CA证书进行签名
用生成的CA证书为server.csr,client.csr文件签名,利用openssl中附带的CA.pl文件

1. 在提示输入已有的证书文件时,输入上面已生成的ca.crt证书文件;

perl CA.pl –newca

 注意：如果没有CA.PL     执行find / -type f -name "CA.pl"   -exec cp {} ./ \;

2.生成服务端证书文件

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

 

 注意：如果没有openssl.cnf  执行find / -type f -name "openssl.cnf"   -exec cp {} ./ \;

3.生成客户端证书文件

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

 

 

五、可能出现的错误

 错误1：

解决方法

echo "00" > demoCA/serial