第三章 OpenSSL证书制作过程.pdf

比亚迪培训讲义 在 J2EE 中使用数字证书 深圳市金蝶中间件有限公司 2007 年 12 月 Table of Contents 1 数字证书使用的场合3 2 数字证书的颁发3 2.1 概述3 2.2 创建自签名 CA3 2.2.1 生成ca 私钥3 2.2.2 生成ca 待签名证书4 2.2.3 用 CA 私钥进行自签名，得到自签名的 CA 根证书4 2.2.4 f 配置文档5 2.3 颁发服务器证书7 2.3.1 生成服务器私钥对及自签名证书7 2.3.2 生成服务器待签名证书7 2.3.3 请求 CA 签名服务器待签名证书，得到经 CA 签名的服务器证书8 2.3.4 把 CA 根证书导入密钥库 mykeystore8 2.3.5 把经过 CA 签名的服务器证书导入密钥库 mykeystore8 2.4 颁发客户端证书9 2.4.1 生成客户端私钥9 2.4.2 生成客户端待签名证书9 2.4.3 请求 CA 签名客户端待签名证书，得到经 CA 签名的客户端证书10 生成客户端的个人证书client.p1210 2.5 CA 根证书导入客户端11 2.6 个人证书导入客户端11 3 在 J2EE 中使用证书11 3.1 配置 L 双向认证11 3.1.1 服务器端密钥库和信任库12 3.1.2 修改 Muxer 服务12 3.1.3 修改 SecurityService 服务13 3.2 在程序中获取证书信息13 4 练习13 5 附录14 5.1 L v3 的处理步骤14 5.2 命令行调试 L 证书14 1 数字证书使用的场合 ● 加密传输 ● 机器比较固定 ● 使用USB Key 2 数字证书的颁发 2.1 概述 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的 文件。证书授权中心（CA ）对证书的数字签名过程即为证书的颁发过程。 CA 非常重要！企业范围内，建议自建 CA，或者采用可信任的证书颁发机构的ROOT CA 。 下面介绍使用 Openssl （ ）结合JDK 自带的keytool 工具来产生 CA 证书、服务器证书以及可导入浏览器的 PKCS#12 格式个人证书。 2.2 创建自签名 CA 设置系统环境变量Path 指向 Openssl 的bin 目录 建立工作目录： mkdir ca cd ca 2.2.1 生成 ca 私钥 openssl dsaparam -out dsaparam 1024 openssl gendsa -out dsakey dsaparam 2.2.2 生成 ca 待签名证书 openssl req -new -out ca-req.csr -key dsakey -config ..\f 2.2.3 用 CA 私钥进行自签名，得到自签名的 CA 根证书 openssl x509 -req -in ca-req.csr -out ca-cert.cer -signkey dsakey -days 365 至此，自签名 CA 根证书制作完毕。当前目录下将产生四个文件，分别是： ● ca-cert.cer ● ca-req.csr ● dsakey ● dsaparam 2.2.4 f 配置文档 # # Leay example configuration file. # This is mostly being used for generation of certificate requests. # RANDFILE = .rnd #################################################################### [ ca