tsl/ssl 证书制作记录

生成自签名证书

  1. 生成服务端秘钥

    $ openssl genrsa -out server.key 1024
    
  2. 生成证书请求文件

    • 编写配置文件openssl.cnf
    $ vi openssl.cnf
    [req]
    req_extensions = v3_req
    distinguished_name = req_distinguished_name
    [req_distinguished_name]
    countryName = CN
    countryName_default = CN
    stateOrProvinceName = ZheJiang
    stateOrProvinceName_default = ZJ
    localityName = HangZhou
    localityName_default = HZ
    organizationalUnitName  = Swaf
    organizationalUnitName_default  = SF
    commonName = Swaf Tech Ltd
    commonName_max  = 64
    [ v3_req ]
    basicConstraints = CA:FALSE
    keyUsage = nonRepudiation, digitalSignature, keyEncipherment
    subjectAltName = @alt_names
    [alt_names]
    DNS.1 = dog.swaf.cn
    DNS.2 = cat.swaf.cn
    
    • 生成csr文件
    $ openssl req -new -key server.key -out server.csr -config openssl.cnf
    

    也可以不使用openssl.conf文件,这样执行以上命令是根据命令行提示输入相关信息即可。不过这里使用了X509 SAN(subjectAltName)扩展,通过alt_names指定多个域名,这样制作的证书可以被多个域名使用,如果只需支持单个域名(可以是通配符,如 *.xxx.com),可以不需要该文件,在命令行提示中的common name中指定域名即可。

  3. 生成自签名证书

    $ openssl x509 -req -days 3650 -in server.csr -signkey server.key -out server.crt -extensions v3_req -extfile openssl.cnf
    

这样便生成了可用的服务端证书。将私有sever.key和证书serves.crt安装在服务端(配置在tomcat,nginx等),然后在客户端安装server.crt证书即可。

生成ca签名证书

  1. 生成ca证书并自签名

    $ openssl genrsa -out server.key 1024  //ca秘钥
    $ openssl req -new -key ca.key -out ca.csr //根据提示输入ca相关信息
    $ openssl x509 -req -in ca.csr -extensions v3_ca -signkey ca.key -out ca.crt //ca自签名证书
    
  2. 生成服务端证书并使用ca签名

    $ openssl genrsa -out server.key 1024
    $ openssl req -new -key server.key -out server.csr -config openssl.cnf   //openssl.cnf文件同上
    $ openssl x509 -req -days 3650 -extensions v3_req -extfile openssl.cnf -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt    //生成ca签名的服务端证书
    

这样便生成了ca签名的服务端证书。将私有sever.key和证书serves.crt安装在服务端(配置在tomcat,nginx等),然后在客户端安装ca.crt证书即可。

posted @ 2018-10-28 15:22  Tswaf  阅读(519)  评论(0编辑  收藏  举报