openssl证书申请.doc

1. 根证书的申请准备根证书准备一些空目录和文件，作用如下： certs/ 保存颁发的所有证书的副本 index.txt 跟踪已颁发的证书，初始为空 f openssl和根证书的配置文件 private/ CA证书的私钥 serial 最后一次颁发的证书的序列号，初始值01，也可以是00等其它值 f内容如下，我一气儿弄了10年的有效期： ca default_ca = FwolfCA FwolfCA dir = /big2/tools/cacertificate = $dir/cacert.pemdatabase = $dir/index.txtnew_certs_dir = $dir/certsprivate_key = $dir/private/cakey.pemserial = $dir/serialdefault_crl_days= 7default_days = 3650default_md = sha1policy = FwolfCA_policyx509_extensions = certificate_extensions FwolfCA_policy commonName = suppliedstateOrProvinceName = suppliedstateOrProvinceName = suppliedcountryName = suppliedemailAddress = suppliedorganizationName= suppliedorganizationalUnitName = optional certificate_extensions basicConstraints= CA:false# 下面是根证书的配置信息 req default_bits = 4096default_keyfile = /big2/tools/ca/private/cakey.pemdefault_md = sha1prompt = nodistinguished_name = root_ca_distinguished_namex509_extensions = root_ca_extensions root_ca_distinguished_name commonName = Fwolf CAstateOrProvinceName = The Earth# countryName只能是两位字母countryName = CNemailAddress = one_mail_of_#organizationName = Root Certification AuthorityorganizationName = Fwolf CA Root root_ca_extensions basicConstraints = CA:true然后生成根证书：$ openssl req -x509 -newkey rsa:4096 -out cacert.pem -outform PEM -days 3650 -config f会提示输入密码以及确认密码。生成好以后可以验证一下（说是验证，其实就是看看内容）：$ openssl x509 -in cacert.pem -text -noout给自己颁发证书$ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1按提示输入两次密码，然后输入几项证书信息，注意其中organizationName必须输入，并且Common Name要和域名一致，比如：Common Name (eg, YOUR name) :*.就生成了私钥key文件和请求req文件，然后把req文件提交给CA根证书签署（盖章）：$ openssl ca -in .req.pem -config f输入根证书的密码，就会在certs/目录下生成.pem证书文件，文件名以serial中的序号开头，信息会存储在index.txt中。这样生成的证书，在apache中配置需要两条语句，分别指定证书和私钥：SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.cert.pemSSLCertificateKeyFile /big2/tools/ca/certs/.key.pem其实这两个文件是可以合并为一个文件的：$ cat .key.pem .cert.pem .pem然后在配置apache的时候就只需要一句了：SSLEngine OnSSLCertificateFile /big2/tools/ca/certs/.pem其它去掉证书的口令现在证书基本上就可以使用了，再返回来说一个问题，就是在启动apache的时候会提示输入私钥的口令，要想去掉这个（一般都不会喜欢这样的），就要求在生成私钥的时候不要设置口令：$ openssl req -newkey rsa:4096 -keyout .key.pem -keyform PEM -out .req.pem -outform PEM -sha1 -nodes生成根证书的时候还是建议带上个口令，提高安全性。index.txt另外，如果要清空index.txt的话，一定要清空到字节0，里面有一个字节都会导致openssl ca错误：wrong number of fields on line 1 (looking for field 6, got 1, left)证书吊销$ openssl ca -revoke .cert.pem# 生成CRL列表 $ openssl ca -gencrl -out exampleca.crl # 查看CRL列表信息 $ openssl crl -in exampleca.crl -text -noout # 验证CRL列表签名信息 $ openssl crl -in exampleca.crl -noout -CAfile cacert.pem 可以看到CRL的版本号为1，这是OpenSSL默认的，除非crl_extensions被指定在配置文件ca一节中。 上传到MT主机上应用首先在Server Certificates 中Add New Certificate，填上Add New Certificate（自己起），然后选下面的Private key私钥文件和Certificate证书文件上传，就存到服务器上了。然后返回证书列表，选中新上传证书前面的复选框，点上面的链接Make default for Web sites设置为网站默认证书，也可以通过Secure control panel将其设置为控制面板所使用的证书。还没完，证书还得加到ip上才能生效，Server IP Addresses 中修改ip地址属性，在SSL Certificate中选择刚才上传的证书，保存，就立刻生效了。基于ssl/https协议的特性，一个ip上只能使用一个证书，所以合租用户是无法自己上传或者选择其它证书的，不过我现在使用的证书是签给“*”的，也就是所有域名都可以使用，“好看”一点。让我不理解的是，如果在访问一个域名时同意了这个证书，在访问另外一个域名的时候还得再同意一遍，也就是证书和域名是要配套使用的，和我原先的想法不太一致。4.密钥和证书管理 密钥和证书管理是PKI的一个重要组成部分，OpenSSL为之提供了丰富的功能，支持多种标准。 首先，OpenSSL实现了ASN.1的证书和密钥相关标准，提供了对证书、公钥、私钥、证书请求以及CRL等数据对象的DER、PEM和BASE64的编解码功能。OpenSSL提供了产生各种公开密钥对和对称密钥的方法、函数和应用程序，同时提供了对公钥和私钥的DER编解码功能。并实现了私钥的PKCS#12和PKCS#8的编解码功能。OpenSSL在标准中提供了对私钥的加密保护功能，使得密钥可以安全地进行存储和分发。 在此基础上，OpenSSL实现了对证书的X.509标准编解码、PKCS#12格式的编解码以及PKCS#7的编解码功能。并提供了一种文本数据库，支持证书的管理功能，包括证书密钥产生、请求产生、证书签发、吊销和验证等功能。 事实上，OpenSSL提供的CA应用程序就是一个小型的证书管理中心（CA），实现了证书签发的整个流程和证书管理的大部分机制。 下面说说俺在实际应用中证书的生成。1.初始化CA：OPENSSL req -x509 -config此处写配置文件的路径和名称 -extensions此处为配置文件的根证书扩展配置 -newkey rsa:此处为编码大小 -keyout此处为输出密钥的文件名称 -out此处为输出根证书名称 -passout pass:此处为根证书密码 -days 此处为有效期，为天数。当执行完此命令，便生成了根证书的私钥和根证书。2.建立服务器证书：建立请求：OPENSSL req-new -newkey rsa:此处为编码大小 -keyout 输出密钥 -out 输出请求 -config 配置文件 -days 有效期 -nodes（输出密钥和请求为同一文件）建立newcert：OPENSSL ca -config 配置文件 -policy 配置文件中的段 -days 有效期 -outnewcert.pem文件 -passin pass:CA密钥 -batch -extensions 配置文件中的段 -infiles 请求文件建立PKCS12格式证书：RANDFILE=random文件路径 OPENSSL pkcs12 -export -in newcert.pem路径 -inkey 请求的密钥文件 -certfileCA证书文件 -canameCA名称 -out 输出的pfx文件 -clcerts -name commonname -passout pass:RANDFILE=random文件路径 OPENSSL pkcs12 -in pfx文件 -out 输出的pem证书文件 -passin pass: -passout pass:建立DER格式证书：OPENSSL x509 -in 以上建立的pem证书文件 -out der证书文件 -inform PEM -outform DER3.建立用户证书：建立请求：OPENSSL req-new -newkey rsa:此处为密钥大小 -keyout 输出用户私钥文件 -out 输出用户请求 -config配置文件 -days 有效期（天）-nodes 建立证书：OPENSSL ca-config 配置文件 -in 请求文件 -out /dev/null -notext -days 有效期 -passin pass:CA密码 -batch -extensions 配置文件中的段建立der格式证书：OPENSSL -x509 -in 用户证书（上一步生成的证书，在配置文件中指定了） -out 输出der证书 -inform PEM -outform DER 建立pfx格式证书：RANDFILE=random文件路径 OPENSSL pkcs12 -export -in 用户证书 -inkey 用户密钥 -certfileCApem证书文件 -canameCA组织名称 -out 输出pfx文件 -name commonname -passout pass:以上为我在应用中使用到的命令，提供出来供大家参考。服务器证书与用户证书为平级关系，只是配置文件不同，配置证书的配置文件在网上很多，这里就不赘述。openssl 的一些参数：openssl dhparam -inform DER|PEM -outform DER|PEM -in filename -out filename -dsaparam -noout -text -C -2 -5 -rand file(s) numbits -inform DER|PEM 指定输入的格式是DEM还是DER. DER格式采用ASN1的DER标准格式。一般用的多的都是PEM格式，就是base64编码格式.你去看看你做出来的那些.key, .crt文件一般都是PEM格式的，第一行和最后一行指明内容，中间就是经过编码的东西。 -outform DER|PEM 和上一个差不多，不同的是指定输出格式 -in filename 要分析的文件名称。 -out filename 要输出的文件名。 -dsaparam 如果本option被set, 那么无论输入还是输入都会当做DSA的参数。它们再被转化成DH的参数格式。这样子产生DH参数和DH key都会块很多。会使SSL握手的时间缩短。当然时间是以安全性做牺牲的，所以如果这样子最好每次使用不同的参数，以免给人K破你的key. -2, -5 使用哪个版本的DH参数产生器。版本2是缺省的。如果这俩个option有一个被set, 那么将忽略输入文件。 -rand file(s) 产生key的时候用过seed的文件，可以把多个文件用冒号分开一起做seed. numbits 指明产生的参数的长度。必须是本指令的最后一个参数。如果没有指明，则产生512bit长的参数。 -noout 不打印参数编码的版本信息。 -text 将DH参数以可读方式打印出来。 -C 将参数转换成C代码方式。这样可以用get_dhnumbits()函数调用这些参数。 openssl还有俩个指令， dh, gendh, 现在都过时了，全部功能由dhparam实现。 现在dh, gendh这俩个指令还保留，但在将来可能会用做其他用途。本文将介绍如何利用Tomcat的HTTPS功能，和一个自己创建的CA，来构建WEB服务器证书和个人数字证书，最终建成一个HTTPS双向认证环境（可以用于测试目的）。本文构建HTTPS双向认证的业务流程大致如下：1. 创建WEB服务器公钥密钥，并生成服务器证书请求。2. 利用自建的CA，根据服务器证书请求为服务器签发服务器证书。然后把服务器证书导回WEB服务器中。3. 利用openssl生成客户端（IE）使用的个人数字证书，也由同样的CA签发个人证书。4. 将个人数字证书（PKCS12格式，包含密钥）导入到浏览器（IE/Firefox）后，就可以进行HTTPS测试了。一. 选择HTTPS WEB服务器这里我们选择了Tomcat。当然还有其它方法，如Apache+Tomcat，让Apache配置成HTTPS模式，而Tomcat只做HTTP业务处理，这样有利于提高性能，但本文只建造一个简单的HTTPS测试环境，只用Tomcat自带的HTTPS功能。（当然，我以后会考虑研究一下Apache+Tomcat模式，到时再和大家一起分享经验）二. 创建一个自己的CA创建一个自己的CA来模拟HTTPS构建环境（利用CA签发证书），不仅有利于了解PKI概念，而且有利于了解真正应用的业务流程。关于如何创建一个简单的测试用CA我已在本博客发文，题目为利用openssl创建一个简单的CA，请参考/jasonhwang/archive/2008/04/26/2329589.aspx 这里就不再重述了。另外，如果你真的觉得建一个CA比较麻烦，且只使用几个个人数字证书的话，当然也可以不建CA，下面章节也会提到不用CA如何构建双向认证。三. 创建服务器公钥密钥及颁发服务器证书实际上有两种方法生成服务器证书，一种是用JDK带的keytool，另一种是用openssl命令生成pkcs12格式的证书。个人更喜欢第二种，因为用openssl生成的pkcs12格式服务器证书可以导出明文的服务器密钥，便于用wireshark（ethereal的新名字）查看HTTPS里被加密过的HTTP消息。keytool生成的keystore也有办法导出密钥，但还要编程去弄，太麻烦了。方法一，用keytool创建服务器公钥密钥并用CA签发服务器证书：keytool是JDK自带的工具程序，确保keytool已在PATH路径里（或在以下命令里指明keytool的全路径，如$JAVA_HOME/bin/keytool）。1. 用keytool生成服务器公钥密钥：在TOMCAT的conf目录里执行以下命令（假设conf目录路径为$TOMCAT_HOME/conf/）：keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -genkey -keyalg RSA -dname CN=servername, OU=servers, O=ABCom注：其中DN（证书的唯一取别名）里的CN最好是服务器的域名地址或IP地址（因为浏览器在发现服务器证书的CN与访问服务器的域名或IP不符时，会报一个警告，不过这个问题不大）。2. 生成服务器证书请求，并让测试CA签发服务器证书实际上本步骤也可以省略，唯一不好的结果是用户在开始访问服务器HTTPS服务时，会跳一个窗口警告用户，用户可以在该窗口里看到服务器证书是一个自签名的证书（用服务器私钥自己给自己签发的证书，keytool生成公钥密钥时自动生成这种证书）。但只要用户选择“信任该证书”，也照样可以与服务器建立HTTPS连接。但正规的HTTPS服务器，还是应该申请一个服务器证书比较好。2.1 生成服务器证书请求：keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -certreq -file serverreq.pem以下命令可以查看一下证书请求的内容：openssl req -in serverreq.pem -text -noout2.2 用测试CA签署服务器证书：把serverreq.pem拷贝到CA的某目录下，我们就可以按照利用openssl创建一个简单的CA里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：openssl ca -in serverreq.pem -out servercert.pem -config $HOME/testca/conf/testca.conf执行过程中需要输入CA私钥的保护密码。2.3 把服务器证书导回到服务器的keystore里：前面命令里生成的servercert.pem即为服务器证书。从CA处把该文件及CA的证书（$HOME/testca/cacert.pem）拿来，一起放到Tomcat的conf目录里。另外导入前，还有一个工作需要做，需要手工编辑servercert.pem证书文件，把-BEGIN CERTIFICATE-该行前的所有内容都删掉，因为keytool不认得这些说明性的内容。导入前也可以执行命令查看一下证书内容：keytool -printcert -file servercert.pem导入服务器证书：先导入CA的证书：keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem再导入服务器证书：keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -alias tomcat -import -file servercert.pem导入后可以用以下命令查看一下keystore里的内容：keytool -keystore tomcat.jks -keypass 222222 -storepass 222222 -list -v3. 创建服务器信任的客户端CA证书库：用keytool创建一个证书库，里面存放服务器信任的CA证书，也就是只有这些CA签发的客户端个人证书才被服务器信任，才能通过HTTPS访问服务器。这就是“HTTPS服务器验证客户端证书”的关键配置。注：如果只是测试目的，为了简单期间，也可以直接把客户端未经CA签发的自签名证书直接导入信任证书库里。这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测试CA签发的，所以我们要把cacert.pem证书导入信任证书库：keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用以下命令查看信任证书库内容：keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下： （题外话：其实HTTPS单向和双向认证配置的唯一区别是，把clientAuth改为false，去掉truststore的相关配置，就是单向HTTPS认证了，单向HTTPS用的可能更多，它主要在浏览器与f服务器交互的HTTP需要加密，而不需要验证客户端证书时使用。）经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。方法二，用openssl创建服务器公钥密钥并用CA签发服务器证书：前面已经提到过，这种方式的好处是有利于抓包查看服务器与浏览器HTTPS交互里的HTTP信息。其实，这种方法与利用openssl创建一个简单的CA里提到的制作个人数字证书方法很类似（请参考利用openssl创建一个简单的CA的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节）。1. 制作服务器证书（最终形成一个pkcs12文件，包含服务器密钥、证书和CA的证书）假设我们把服务器相关的东西生成到CA的$HOME/testca/test/server目录里：mkdir -p $HOME/testca/test/servercd $HOME/testca/test/server2.1 创建服务器公钥密钥，并同时生成一个服务器证书请求：openssl req -newkey rsa:1024 -keyout serverkey.pem -keyform PEM -out serverreq.pem -outform PEM -subj /O=ABCom/OU=servers/CN=servername执行命令过程中输入密钥保护密码222222。执行后可以用以下命令查看请求内容：openssl req -in serverreq.pem -text -noout2.2 用测试CA签署服务器证书：把serverreq.pem拷贝到CA的某目录下，我们就可以按照利用openssl创建一个简单的CA里的“CA的日常操作”的“1. 根据证书申请请求签发证书”章节进行证书签发了：openssl ca -in serverreq.pem -out servercert.pem -config $HOME/testca/conf/testca.conf执行过程中需要输入CA私钥的保护密码。执行完后可以用以下命令查看证书内容：openssl x509 -in servercert.pem -text -noout导入信任的CA根证书到Java的默认位置keytool -import -v -trustcacerts -storepass changeit -alias root_aisce -file c:rootca-cert.pem -keystore %JAVA_HOME%jrelibsecuritycacerts2.3 制作服务器pkcs12文件（包含服务器密钥、证书和CA的证书）openssl pkcs12 -export -in servercert.pem -inkey serverkey.pem -out tomcat.p12 -name tomcat -CAfile $HOME/testca/cacert.pem -caname root -chain执行过程中要输入服务器密钥的保护密码（serverkey.pem）和新生成的tomcat.p12的保护密码，我们都输入222222。创建完成后，把pkcs12文件拷贝到tomcat的conf目录下。3. 创建服务器信任的客户端CA证书库：同方法一的对应章节，这里，我们假设客户端个人证书（后续章节介绍如何生成客户端个人证书）也是由测试CA签发的，所以我们要把cacert.pem证书导入信任证书库：keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file cacert.pem可以用以下命令查看信任证书库内容：keytool -keystore truststore.jks -keypass 222222 -storepass 222222 -list -v4. 配置Tomcat支持HTTPS双向认证（服务器将认证客户端证书）：修改tomcat的conf目录里的server.xml文件（$TOMCAT_HOME/conf/server.xml），找到类似下面内容的配置处，添加配置如下： 注意：其中keystore的keystoreType与方法一的配置不同。经以上配置后，重启tomcat，服务器就支持HTTPS双向认证了。四. 创建用于客户端（浏览器）测试的个人数字证书（pkcs12格式）完全按照利用openssl创建一个简单的CA里提到的制作个人数字证书方法来进行，请参考利用openssl创建一个简单的CA的“三. 自己生成公钥密钥，并用测试CA签发数字证书”章节。1. 创建个人密钥和证书请求（证书请求里包含了公钥）创建$HOME/testuser1目录并执行命令：（证书等都放到这个目录）mkdir $HOME/testuser1cd $HOME/testuser1openssl req -newkey rsa:1024 -keyout testkey.pem -keyform PEM -out testreq.pem -outform PEM -subj /O=TestCom/OU=TestOU/CN=testuser1 执行过程中需要输入私钥的保护密码，假设我们输入密码： 222222执行完后，testkey.pem即为用户的密钥，而testreq.pem即为证书请求。可以用openssl req -in testreq.pem -text -noout查看证书请求的内容。2. 用CA为testuser1签发个人证书同样还在$HOME/testuser1目录下执行命令：openssl ca -in testreq.pem -out testcert.pem -config $HOME/testca/conf/testca.conf执行过程中需要输入CA的密钥保护密码（刚才设置的888888），并且最后询问你是否要给该用户签发证书时要选y。执行完后，testcert.pem即为证书，可以用命令openssl x509 -in testcert.pem -text -noout查看证书内容。3. 制作PKCS12文件（个人数字证书）我们制作的这个PKCS#12文件将包含密钥、证书和颁发该证书的CA证书。把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令：openssl pkcs12 -export -in testcert.pem -inkey testkey.