OpenSSLonLinux电子教程.pptVIP

OpenSSL on Linux NCKU NC_LAB Norman Outline OpenSSL Installing on Linux OpenSSL Configure Download OpenSSL /source/ Install OpenSSL tar –zxvf openssl-0.9.7c.tar.gz The install commands: $ ./config $ make $ make test $ make install The detail instructions at the INSTALL File OpenSSL Env. makeup # 設定相關的目錄 mkdir -p /etc/ssl mkdir -p /etc/ssl/private chmod og-rwx /etc/ssl/private mkdir -p /etc/ssl/certs mkdir -p /etc/ssl/crl mkdir -p /etc/ssl/newcerts OpenSSL Env. makeup # 設定 OpenSSL 設定檔 mv /usr/local/ssl/f /etc/ssl ln -s /etc/ssl/f /usr/local/ssl/f OpenSSL Env. makeup # 設定 OpenSSL 設定檔的位置 export OPENSSL_CONF=/etc/ssl/f OpenSSL Env. makeup # 把 OpenSSL 設定檔的位置加進 .bashrc 中 echo # OpenSSL 設定檔的位置 ~/.bashrc echo export OPENSSL_CONF=\/etc/ssl/f\ ~/.bashrc OpenSSL Env. makeup # 製作亂數檔 openssl rand -out /etc/ssl/private/.rand 1024 chmod og-rwx /etc/ssl/private/.rand OpenSSL Env. makeup 修改 openssl.conf dir= ./demoCA # Where everything is kept 修改為 dir= /etc/ssl # Where everything is kept 製作最高層認證中心 (Root CA) 若之前做過最高層認證中心，不要重做，不然原來簽發的憑證，都會失效，都要重簽。 除非最高層認證中心自己過期、檔案遺失、 Private Key 外洩，否則絕對不要重做最高層認證中心。 假設要做的最高層認證中心叫做 myrootca 製作最高層認證中心 (Root CA) #1 製作 Private Key （及 Public Key ） 這裏我們做一支新的 Private Key 。 Public Key 可由 Private Key 推得，所以不用特別去做。 請為最高層認證中心的 Private Key 設定一個適當的密碼。 # 製作 RSA Private Key openssl genrsa -des3 -out /etc/ssl/private/myrootca.key.pem 2048 chmod og-rwx /etc/ssl/private/myrootca.key.pem 製作最高層認證中心 (Root CA) #1a 密碼設定 123456 製作最高層認證中心 (Root CA) #1b myrootca.key.pem 內容 製作最高層認證中心 (Root CA) #2 填寫憑證申請書 憑證申請書，是把你的資料，和這個 Public Key 夾在一起，以便認證中心審核，簽上簽名用的。所以這個步驟，會問妳這個 Key 的相關資料，包括國家、城市、單位名稱、部門名稱、憑證名稱、聯絡人的信箱，以及申請的效期等等。請一一填寫。 若你要直接用最高層認證中心來直接當憑證用，憑證名稱 (Common Name) 請用伺服器的全名 () 。。 # 填寫憑證申請書 openssl req -new -key /etc/ssl/private/myrootca.key.pem -out /tmp/myrootca.req.pem 製作最高層認證中心 (Root CA) #2a 所有資料都要填英文 (ASCII 字集) 。 X.509 憑證只接受英文 ASCII 字集的字。 Country Name 一定要是大寫的雙字母國碼，臺灣是 TW ，臺灣以外的地方，請參考 ISO-3166 的標準雙字母國碼。 State Name 是國名或省名，不可以填國碼。臺灣填 Taiwan 即可。 Locality Name 是地