20181217 本地

在本地tomcat上，用手机提供热点，于是ip地址可能有时会出现变化，可以实时进行调整。本地为localhost，在实验过程中第一个可能出现的ip为192.168.43.98，第二个为192.168.43.99

①自己给localhost颁发证书，首先创建demoCA

可以先查看openssl.cnf:(root@LAPTOP-LNFPC4GC:/mnt/e/chen/openssl-1.1.1-pre5/apps# vim openssl.cnf)

 

1.wsl进入E:\chen\openssl-1.1.1-pre5\apps\demoCA文件夹，创建certs、private、crl、csr、newcerts文件夹。

mkdir certs private crl csr newcerts

2.生成证书索引数据库文件,指定第一个颁发证书的序列号00

touch index.txt  

echo 00 > serial

3.生成CA私钥：

(umask 066; openssl genrsa -out private/cakey.pem [-des3] 2048)

4. 生成自签名证书（此时的commonname为root）

openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem

5.查看自签名证书

cat cacert.pem

6.wsl进入E:\chen\openssl-1.1.1-pre5\apps\a-server

①生成私钥

(umask 066;openssl genrsa -out service.key 2048)

②利用私钥生成证书请求文件， 在需要使用证书的主机生成证书请求（commentname为hocalhost）

openssl req -new -key service.key -days 365 -out service.csr

7.CA端：

①mv service.csr csr/

②CA 签署证书，并将证书颁发给请求者（在apps文件夹下操作）

openssl ca -in ./demoCA/csr/service.csr -out ./demoCA/certs/service.crt -days 100

注意：

③查看证书中的信息

openssl x509 -in ./demoCA/certs/service.crt -noout -text

④看证书状态：

openssl ca -status 00

看最后结果：

 

 

把cacert.crt根ca证书放置到浏览器

 

将root颁发给自己的证书service.crt导入到浏览器，将server.p12放置到tomcat底下的server.xml:

 

 

 

这时，访问https://localhost/donggong 可得：

 

 

 

吊销证书：

 

将crl.pem改成crl.crl