openssl自签名证书生成与单双向验证
什么是CA:
CA(Certificate Authority)是数字证书认证中心的简称。是指发放、管理、废除数字证书的机构。网络
CA的做用是检查证书持有者身份的合法性。并签发证书(在证书上签字),以防证书被伪造或篡改。以及对证书和密钥进行管理。post
SSL证书中DN(Distiguish Name)识别名的结构:
遵循x.500标准,标识名的目的就是为每个网络实体提供一个惟一的名字。为了达到这一目的。DN有一种分层结构。一个DN由一些列的RDN(Relative distinguished name,相对标识名)构成。ui
RDN的乘此结构依次为:spa
C = US, ST = Beijing, L = Beijing, O = RTFM, OU = Consulting, CN = Ericserver
(C->Country, ST-> State or Provice Name, L->Locality Name, O->Organization, OU->Organization Unit, CN->Common Name)ssl
生成自签名证书的步骤:
1、创建CA:
1. 在随意目录创建目录,目录名称随意
/home/gouxu/gx/key/字符串
2. 进入到新创建的目录key
cd /home/gouxu/gx/key/openssl
3. 生成CA私钥
openssl genrsa -out ca.key 2048 it
參数说明:io
genrsa:生成rsa秘钥;
-out ca.key 生成的秘钥文件为ca.key;
2048: 秘钥长度为2048.
4. 用CA私钥生成CA的证书
openssl req -new -x509 -days 36500 -key ca.key -out ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Teamsun/OU=Teamsun"
(-x509选项会生成自签名证书。)
5. 创建CA对应文件夹
进入到key目录运行例如如下命令:
mkdir demoCA
cd demoCA/
mkdir newcerts
touch index.txt
echo '01' > serial
2、生成server端证书
1. 进入key目录
cd key/
2. 生成server私钥
openssl genrsa -out server.key 2048
3. 使用server私钥生成server端证书请求文件
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Teamsun/OU=guoxu/CN=guoxu"
(没有-x509选项则生成证书请求文件。)
4. 使用server证书请求文件经过CA生成自签名证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key
5. 验证server证书
gouxu@gouxu-pc:~/gx/key$ openssl verify -CAfile ca.crt server.crt
server.crt: OK
gouxu@gouxu-pc:~/gx/key$
3、双向认证需要生成client证书
1. 进入key目录
cd key/
2. 生成client私钥
openssl genrsa -out client.key 2048
3. 使用client私钥生成client端证书请求文件
openssl req -new -key client.key -out client.csr -subj "/C=CN/ST=Beijing/L=Beijing/O=Teamsun/OU=guog/CN=guog"
注意:假设出现例如如下错误需要更改OU域与CN域又一次生成证书请求文件。
Sign the certificate?
[y/n]:y
failed to update database
TXT_DB error number 2
4. 使用client证书请求文件生成自签名证书
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key
5. 验证client证书
gouxu@gouxu-pc:~/gx/test$ openssl verify -CAfile ca.crt client.crt
client.crt: OK
gouxu@gouxu-pc:~/gx/test$
4、測试
4.1 使用server证书測试单向认证
1. 打开窗体1启动server
gouxu@gouxu-pc:~/gx/test$ openssl s_server -accept 10001 -key server.key -cert server.crt
Using default temp DH parameters
Using default temp ECDH parameters
ACCEPT
2. 打开窗体2启动client
gouxu@gouxu-pc:~$ openssl s_client -connect localhost:10001
CONNECTED(00000003)
... ...
3. 链接成功后在随意一个窗体输入字符串会传输到另一个窗体回显。
4.2 使用server证书和client证书作双向測试
1. 打开窗体1启动server。
(带有Verify參数,强制要求client证书)
gouxu@gouxu-pc:~/gx/test$ openssl s_server -accept 10001 -key server.key -cert server.crt -Verify 5
2. 打开窗体2启动client
gouxu@gouxu-pc:~/gx/test$ openssl s_client -connect localhost:10001 -cert client.crt -key client.key
3. 双向证书正确则链接成功。不然链接失败。
4. 经过控制台可以双向发送消息。
- 1. 使用openssl生成自签名证书以及nginx ssl双向验证
- 2. OpenSSL 生成自签证书
- 3. Linux下生成openssl自签名证书
- 4. OpenSSL生成自签名证书
- 5. 基于 OpenSSL 生成自签名证书
- 6. openssl生成自签名证书
- 7. openssl 生成自签名证书
- 8. openssl自签名证书
- 9. 生成自签名证书
- 10. SSL--Windows下生成OpenSSL自签证书
- 更多相关文章...
- • PHP 表单验证 - PHP教程
- • XML 验证 - XML 教程
- • 算法总结-双指针
- • TiDB 在摩拜单车在线数据业务的应用和实践
-
每一个你不满意的现在,都有一个你没有努力的曾经。