利用OpenSSL建立证书链并应用于IIS7

1、系统环境说明html

  • Linux & OpenSSL
1 Linux localhost 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
2 [root@localhost /home/study]#openssl version
3 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008

 

  • Windows & IIS

  Windows 7 X64 , IIS 7, 默认网站node

2、建立密钥链服务器

  注意:请先看一下最后的注意事项,避免走弯路。网站

  1. 建立根证书(自签名证书)this

1 echo "create root ca key"
2 openssl genrsa -out root-key.key 1024
3 echo ----------------------
4 echo "create root cert request"
5 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA"
6 echo ----------------------
7 echo "create root self sign cert"
8 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days 3650 -text -extfile openssl.cnf -extensions v3_ca

  2. 建立中级证书(利用RootCA私钥签名)spa

1 echo "create 2 level cert key"
2 openssl genrsa -des3 -out root-mid.key 1024
3 echo ----------------------
4 echo "create 2 level cert csr"
5 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA"
6 echo ----------------------
7 echo "sign with root-crt"
8 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial  -days 3650 -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca

  3. 建立服务器证书(利用中级证书私钥签名)code

  (使用openssl建立申请:openssl req -out server.csr -new -sha256 -newkey rsa:2048 -nodes -keyout server.key)server

  证书申请建立:htm

1 #在IIS中“建立证书申请”文件,拷贝到Linux系统中(假设名称为Server.csr)
2 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days 3560 -out Server.crt -text -extfile openssl.cnf -extensions v3_ca

  4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中blog

  5. 导入RootCA.crt导入到“受信任的根证书颁发机构”,MidCA.crt导入到“中级证书颁发机构” --- 都是本地计算机

  6. 执行“完成证书申请步骤”,绑定网站到SSL,并指定证书为Server.crt的友好名称

  7. 访问https://ip便可进行验证。

3、注意事项

  1. 当证书签发超过两级时,在IE中查看证书是会出现以下“由于证书路径中的证书颁发机构彷佛没有颁发证书的权限或不能被用做终端实体证书,证书无效”错误,修改openssl默认配置便可(默认配置在v3_ca配置节,路径/etc/pki/tls/openssl.cnf)。

1 # This is what PKIX recommends but some broken software chokes on critical
2 # extensions.
3 #basicConstraints = critical,CA:true
4 # So we do this instead.
5 #basicConstraints = CA:true
6 # xwliu
7 basicConstraints = CA:true,pathlen:3

4、参考资料

关于数字证书的概念请参考如下连接:

 <http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>

关于证书与证书链的高层次理解请参考以下连接:

<http://lukejin.iteye.com/blog/587200>

其余参考资料:

 <http://firefly.iteye.com/blog/674208

 <http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>

 CRT转PEM:openssl x509 -in server.crt -out server.pem

 PFX转PEM:openssl pkcs12 -in server.pfx -out server.pem -nodes

****************转载请注明出处******************

相关文章
相关标签/搜索