利用OpenSSL建立证书链并应用于IIS7
1、系统环境说明html
- Linux & OpenSSL
1 Linux localhost 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux 2 [root@localhost /home/study]#openssl version 3 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
- Windows & IIS
Windows 7 X64 , IIS 7, 默认网站node
2、建立密钥链服务器
注意:请先看一下最后的注意事项,避免走弯路。网站
1. 建立根证书(自签名证书)this
1 echo "create root ca key" 2 openssl genrsa -out root-key.key 1024 3 echo ---------------------- 4 echo "create root cert request" 5 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA" 6 echo ---------------------- 7 echo "create root self sign cert" 8 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days 3650 -text -extfile openssl.cnf -extensions v3_ca
2. 建立中级证书(利用RootCA私钥签名)spa
1 echo "create 2 level cert key" 2 openssl genrsa -des3 -out root-mid.key 1024 3 echo ---------------------- 4 echo "create 2 level cert csr" 5 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA" 6 echo ---------------------- 7 echo "sign with root-crt" 8 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial -days 3650 -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca
3. 建立服务器证书(利用中级证书私钥签名)code
(使用openssl建立申请:openssl req -out server.csr -new -sha256 -newkey rsa:2048 -nodes -keyout server.key)server
证书申请建立:htm
1 #在IIS中“建立证书申请”文件,拷贝到Linux系统中(假设名称为Server.csr) 2 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days 3560 -out Server.crt -text -extfile openssl.cnf -extensions v3_ca
4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中blog
5. 导入RootCA.crt导入到“受信任的根证书颁发机构”,MidCA.crt导入到“中级证书颁发机构” --- 都是本地计算机
6. 执行“完成证书申请步骤”,绑定网站到SSL,并指定证书为Server.crt的友好名称
7. 访问https://ip便可进行验证。
3、注意事项
1. 当证书签发超过两级时,在IE中查看证书是会出现以下“由于证书路径中的证书颁发机构彷佛没有颁发证书的权限或不能被用做终端实体证书,证书无效”错误,修改openssl默认配置便可(默认配置在v3_ca配置节,路径/etc/pki/tls/openssl.cnf)。
1 # This is what PKIX recommends but some broken software chokes on critical 2 # extensions. 3 #basicConstraints = critical,CA:true 4 # So we do this instead. 5 #basicConstraints = CA:true 6 # xwliu 7 basicConstraints = CA:true,pathlen:3
4、参考资料
关于数字证书的概念请参考如下连接:
<http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>
关于证书与证书链的高层次理解请参考以下连接:
<http://lukejin.iteye.com/blog/587200>
其余参考资料:
<http://firefly.iteye.com/blog/674208>
<http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>
CRT转PEM:openssl x509 -in server.crt -out server.pem
PFX转PEM:openssl pkcs12 -in server.pfx -out server.pem -nodes
****************转载请注明出处******************
- 1. 利用OpenSSL创建证书链并应用于IIS7
- 2. 使用Openssl建立证书
- 3. Openssl应用实例:建立私有CA并申请证书
- 4. 用openssl建立签名数字证书:建立CA
- 5. 利用openssl构建根证书-服务器证书-客户证书
- 6. 如何利用OpenSSL生成证书
- 7. 使用openssl生成包含证书链的java用jks证书
- 8. 使用 OpenSSL 建立私有 CA:3 用户证书
- 9. openssl生成证书链多级证书
- 10. 用 OpenSSL 创建可以用于 https 的证书
- 更多相关文章...
- • Maven Web 应用 - Maven教程
- • XML 应用程序 - XML 教程
- • 适用于PHP初学者的学习线路和建议
- • TiDB 在摩拜单车在线数据业务的应用和实践
-
每一个你不满意的现在,都有一个你没有努力的曾经。