openssl生成证书及吊销列表.doc

openssl生成证书及吊销列表 一，先来讲讲基本概念。 证书分类： 按类型可以分为CA证书和用户用户证书，我们我说的root也是特殊的CA证书。 用户证书又可以根据用途分类，放在服务器端的称为服务器证书，放在客户端一般称为客户端证书（这种说法不是很准确，只是一种理解。实际应该是在对客户端认证时才会用到客户端证书且root、ca证书都可以放在客户端），记住，这两种证书都应为用户证书。 一般可以理解为证书由key和证书（没有key的文件也称为证书）组成，谁拥有这两个东西才真正拥有这个证书。好比锁是有钥匙和锁头组成的，你得两都有。你只有锁头锁住东西，却没有钥匙打开，也没什么用。 如果你对证书不了解，那一定要知道证书这三点作用（纯个人认为比较重要三点）： 1，签名：通过签名技术可以保证证书拥有者的唯一性，而且所有信息没有被篡改。想了解数字签名的自己百度一下。 2，提供公钥：通过签名技术知道证书拥有者是A，且所有信息都是A，就可以拿到A的公钥算法及公钥。所以有些人理解为证书就是一个公钥（个人认为这种理解与实际偏差较大）。 3，颁发者：找到颁发者很重要，每个证书都有一个颁发者。这个在证书认证时用得到。 对于用户（人）来说还是通过证书名称来区分证书，下面讲解几种常见的证书。 a).cert或.crt文件：这种证书倒是可以理解为公钥证书，因为它最主要的作用就是来提供公钥的，只是一种理解，签名认证这些作用一样不会少。这种文件不含有key，就好像一个打开的锁头，可以发给任何人。所以拥有.cer或.crt文件的不是真正的拥有者，因为你可以用证书里的公钥加密，但并没有私钥解密。 b).pfx文件：这种证书文件可以理解为.cer文件与key结合体，即拥有.pfx证书相当同时拥有公钥与私钥。即可以加密也可以解密。 c).key文件：就是钥匙啦。锁头可以给任何人，但是钥匙只能自己保留，所以这玩意一定要保存好。 d).p7b文件：为证书链文件，也不含私钥。证书链即证书的拥有者、颁发者、颁发者的颁发者、依次类推的证书合成一个文件。 以上对证书概念基础的了解，有基础的可以不用看。实际证书分类根据编码方式来区分的，只是为了方便理解才这么分的。当我们需要向对方发送加密数据时，我们只需要对方的cer或crt文件就可以了。而需要对方向自己发送加密数据时，自己得拥有key，并且对方要有自己公钥（从cer文件获得）。 二、环境搭建 安装openssl这个就不讲了，现在很多linux版本都默认安装了。先来看下配置文件中一段。 默认配置文件/usr/local/openssl/ssl/f或者/etc/pki/tls/f。 dir = ./demoCA # Where everything is kept certs = $dir/certs # Where the issued certs are kept crl_dir = $dir/crl # Where the issued crl are kept database = $dir/index.txt # database index file. #unique_subject = no # Set to no to allowcreation of #several ctificates with same subject. new_certs_dir = $dir/newcerts # default place for new certs. certificate = $dir/cacert.pem # The CA certificate serial = $dir/serial # The current serial number crlnumber = $dir/crlnumber # the current crl number # mustbe commented out to leave a V1 CRL crl = $dir/crl.pem # The current CRL private_key = $dir/private/cakey.pem# The private k