openssl证书应用web服务中.docVIP

Liunx下openssl建立数字证书+httpd应用 第一部分：软件环境建设： Linux下首先要安装软件，这里基于linux9.0版本，内核2.4.20-8, Httpd版本：httpd-2.0.40-21 Openssl版本：openssl-0.9.7a-2 Mod_ssl版本：mod_ssl-2.0.40-21 安装完成之后，可以使用openssl生成数字证书。 第二部分：三种数字证书生成过程 生成根证书相关信息： 生成根秘钥； Openssl genrsa –des3 –out rootca.key 1024 根自签名证书，目的为了给其它证书签名和根证书之间信任关系； Openssl req –new –x509 –days 3650 –key rootca.key –out rootca.crt 生成服务器端证书信息： 生成服务器证书密钥； Openssl genrsa –des3 –out server.key 1024 生成服务器根证书请求： Openssl req –new –key server.key –out server.csr 生成服务器证书，并由根证书签名： Openssl ca –in server.csr –out server.crt –cert rootca.crt –keyfile rootca.key –config f 生成客户端证书密钥： 生成客户端证书密钥； openssl genrsa –des3 –out clinet1.key 1024 生成客户端证书请求： Openssl req –new –key clinet1.key –out clinet1.csr 生成客户端证书，并由根证书签名： Openssl ca –in clinet1.csr –out clinet1.crt –cert rootca.crt –keyfile rootca.key –config f 如果是微软下的浏览器，个人信息证书不能识别.crt格式，需要将.crt转换成.pfx格式。 Openssl pkcs12 –export –in clinet1.crt –out clinet1.pfx –inkey clinet1.key 以上各步骤是生成根证书、服务器证书、客户证书的过程和方法，需要注意一些事项： 生成服务器证书请求过程中， Common Name (eg, your name or your server’s hostname)此处需要填写服务器的域名或者IP地址，才能够通过IE浏览器访问；否则报主机名和访问域名不一致。 如果客户端是微软的浏览器，导入客户证书必须是pfx格式，因而需要将.crt格式转换成.pfx格式，再导入到浏览器的个人证书中；而根证书不受格式限制，但也需要导入到浏览器的受信任的根证书颁发机构中。 各个阶段生成密钥过程中需要输入密码，需要记清楚，后边会使用前边的密码信息。 4、在证书签名阶段，可能需要修改下f中的内容，大部分是需要指定证书存放的位置和密钥存放的位置。另外如果文件中无index.txt,需要手工创建一个空的文件；如果无serial这个文件，也需要手工创建，并在里边输入两个16进制的数字即可(例01)。具体错误会有提示。 第三部分：数字证书应用到http服务部分： 上述完成之后，需要修改下边的httpd部分的内容： 需要将客户端证书、服务器端证书、根证书存到/etc/httpd/conf/ssl.crt中。 Cp rootca.crt /etc/httpd/conf/ssl.crt Cp server.crt /etc/httpd/conf/ssl.crt Cp clinet1.crt /etc/httpd/conf/ssl.crt 也可以在上边制作证书的过程中使用-out /etc/httpd/conf/ssl.crt/*.crt时同时保存。 需要将客户端证书密钥、服务器端证书密钥、根证书密钥存到/etc/httpd/conf/ssl.crt中。 Cp rootca.key /etc/httpd/conf/ssl.key Cp server.key /etc/httpd/conf/ssl.key Cp clinet1.key /etc/httpd/conf/ssl.key 也可以在上边制作证书的过程中使用-out /etc/httpd/conf/ssl.key/*.key时同时保存。 修改/etc/httpd/conf.d/ssl.conf文件中一些部分： 1) 到Server Certificate处修改 SSLCertificateFile /etc/httpd/conf/ssl.crt/server.crt 2) 到Server Private K