为什么80%的码农都做不了架构师?>>>
Windows下使用OpenSSL生成自签证书(亲测)
一,前言
经常写博客的小伙伴儿都知道,大家一般在前言里面会提到为什么写这篇博客,而我这篇博客
主要是探讨OpenSSL自签名证书,用于对安全性要求比较高的商业活动。。
二,探讨前景:
生成一对 RSA 钥匙,公钥采用 X。509 进行加密,私钥采用 PKCS8 进行加密, 字节长度为
1024
三,准备工作
1,下载 OpenSSL 在 window 7 下的安装包,可以从我网盘下载,如果下载地址失效了,
大家有需要可以给我留言,我非常相信大家的找资源能力,但是我怕大家下载版本有问题后,
按照我的方法不行,我怕被打!哈哈 https://yun.baidu.com/s/1gfPmtdL
2,下载 OpenSSL 执行命令时需要提供的配置文,
参考我的网盘 https://yun.baidu.com/s/1bo0bHMn
四,开战
1,执行 OpenSSL 的安装程序,例如我安装在 D:\MySoftware\OpenSSL-Win64
2,设置环境变量
OPENSSL_HOME = D:\MySoftware\OpenSSL-Win64
(注意:这里你需要把地址替换你安装文件夹)
Path = Path + ; + % + OPENSSL_HOME + % + \bin + ;
(在配环境变量时一定要注意最后一个 ; )
3,创建一个你将用来创建证书的目录,例如我的是 F:\Test
4,文件和目录补齐(如果不补齐在自签证书时会报找不到文件的错)
在你创建证书的目录下,手动创建如下文件(文件作用附加在文件名后面)
index.txt OpenSSL在创建自签证书时会向该文件里写下索引
database.txt OpenSSL会模拟数据库将一些敏感信息写在该文件里
serial.txt 创建该文件后,请编辑在第一行写下 01
certs 文件夹,目前没什么用,仅仅只是我配置文件这样写
注意: 这里提到的所有文件必须补齐,并且文件名不得更改 !
将下载下来的 openssl.conf 文件拷贝到改目录下
5,生成证书开始(在此过程中,我们假设自己就是专业的颁发证书的机构 CA)
a,生成 CA 根证书,做签名使用的,因为我们是自己给自己签名嘛!
生成 CA 根证书私钥
genrsa 表示采用RSA算法生成根证书私钥
-des3 表示使用3DES给根证书私钥加密
1024 表示根证书私钥的长度,建议使用2048,越长越安全
openssl genrsa -des3 -out root.key 1024
这个时候会让你输入两次根证书的密码,根证书嘛肯定是要保密的
b-1,生成根证书签名请求文件 .csr,如果你的根证书需要别的签名机构来签名,
你就拿这个签名请求文件给他,让他们帮你签名,签名完后,他们会返回你一个 .crt 的证书,
如果你是这样的做的,那你可以跳过 接下来的 c 步骤
openssl req -new -key root.key -out root.csr
-key 这里需要指向我们上一步生成根证书私钥
-out 这里就会生成我们的根证书签名请求文件
c-1,生成 CA 的自签证书(如果我们自己扮演CA这个角色,那么签名请求文件就是我
们上步产生的 root.csr)
openssl req -new -x509 -key root.csr -out root.crt -days 365 -config ../openssl.conf
这个时候会让你输入一些组织信息,请记住,你现在输入的信息和你接下来要签名的信息一致
c-2,我们也可以直接使用 CA 根证书私钥来获得自签名的CA根证书
openssl req -new -x509 -key root.key -out root.crt -days 365 -config ../openssl.conf
d,同样的道理生成服务器端私钥
openssl genrsa -out server.key 1024
e,生成服务器端签名请求文件
openssl req -new -key server.key -out server.csr -config openssl.conf
同样会让你输入一个组织信息,记得跟根证书一致
f,利用 CA 进行签名证书
openssl ca -in server.csr -out server.crt -keyfile root.key -cert root.crt -days 365
-config openssl.conf
到底我们的证书生成完成!但是有些格式不是我们需要的,请看接下俩格式转换
6,常用格式转换
a,得到 pfx 格式的私钥,密钥算法为 pkcs12
openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt
b,从pfx文件中分离出 cer 格式的公钥
openssl x509 -inform pem -in server.crt -outform der -out server_public.cer
五,总结
留下文章让自己有个参考,欢迎大家一起交流! QQ : 690649714
如果在使用过程中出现任何问题,可以参考我的博客同目录下 OpenSSL 常见问题