[免费openssl生成ssl证书]
[ssl证书生成]
目 录
1 概述 ............................................................................................................1
2 什么是x509证书链 .....................................................................................1
3 key的生成 ..................................................................................................1
4 生成CA的crt ...............................................................................................1
5 csr的生成方法: ........................................................................................2
6 crt生成方法 ...............................................................................................2
7 tomcat实现SSL认证 ....................................................................................2
1 概述
SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(Secure socket layer(SSL),安全协议是由Netscape Communication公司设计开发。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了)。即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。
SSL网站不同于一般的Web站点,它使用的是“HTTPS”协议,而不是普通的“HTTP”协议。因此它的URL(统一资源定位器)格式为“https://www.etsec.com.cn”。
2 什么是x509证书链
x509证书一般会用到三类文件,key,csr,crt。
Key 是私用密钥,openssl格式,通常是rsa算法。
csr是证书请求文件,用于申请证书。在制作csr文件的时候,必须使用自己的私钥来签署申请,还可以设定一个密钥。
crt是CA认证后的证书文件(windows下面的csr,其实是crt),签署人用自己的key给你签署的凭证。
3 key的生成
openssl genrsa -des3 -out server.key 2048
这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
openssl rsa -in server.key -out server.key
server.key就是没有密码的版本了。
4 生成CA的crt
openssl req -new -x509 -key server.key -out ca.crt -days 3650
生成的ca.crt文件是用来签署下面的server.csr文件。
5 csr的生成方法:
openssl req -new -key server.key -out server.csr
需要依次输入国家,地区,组织,email。最重要的是,有一个common name,可以写你的名字或者域名(例如: www.etsec.com.cn)。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。
6 crt生成方法
CSR文件必须有CA的签名才可形成证书.可将此文件发送到CA 厂商 Entrust等地方由它验证,要支付一笔费用,测试证书可以自己做CA啦.
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt
输入key的密钥后,完成证书生成。-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥。-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。
最后生成了私用密钥:server.key和自己认证的SSL证书:server.crt
7 tomcat实现SSL认证
按照以上方法证书生成后,我们再配置tomcat。首先将以上创建的证书server.crt拷贝到tomcat主目录下的conf文件夹下。
1. 创建服务器信任的CA证书库: 把server.crt证书导入信任证书库,命令行模式进入tomcat主目录下的conf目录,执行以下命令:
keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -alias ca -import -trustcacerts -file server.crt 可以用以下命令查看信任证书库内容: keytool -keystore truststore.jks -keypass 111111 -storepass 111111 -list -v 2. 配置Tomcat支持HTTPS双向认证(服务器将认证客户端证书): 修改tomcat的conf目录里的server.xml文件($TOMCAT_HOME/conf/server.xml),找到类似下面内容的配置处,添加配置如下:
<Connector port="8443" maxThreads="150" minSpareThreads="25" maxSpareThreads="75" enableLookups="false" disableUploadTimeout="true" acceptCount="100" debug="0" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" keystoreFile="conf/tomcat.p12" keystorePass="111111" keystoreType="PKCS12" truststoreFile="conf/truststore.jks" truststorePass="111111" truststoreType="JKS" />
其中,clientAuth指定是否需要验证客户端证书,如果该设置为“false”,则为单向SSL验证,SSL配置可到此结束。如果clientAuth设置为“true”,表示强制双向SSL验证,必须验证客户端证书,但服务器不会颁发证书必须由客户端导入。如果clientAuth设置为“want”,则表示可以验证客户端证书,但如果客户端没有有效证书,也不强制验证。 注意:浏览器的高级选型中要启用TLS加密方式。
相关推荐
通过OpenSSL生成的ssl证书,用于windows下用nginx配置https服务器( OpenSSL创建证书) 无需再下载OpenSSL,配置OpenSSL相关环境,在进行命令生成证书
使用openssl生成证书,有详细的步骤说明,亲测可用。还有一些关于证书的一些常用转换操作介绍
使用openssl生成单向ssl证书,此方法生成的证书可以用于基于boost.asio库的SSL通讯测试中。基于基于boost.asio库SSL通讯测试程序可参见本人其他资源。
用openssl为apache制作ssl证书
这里说下Linux 系统怎么通过openssl命令生成 证书。 首先执行如下命令生成一个key
OpenSSL 证书生成器 可用于apache的ssl证书生成
本文档描述了采用openssl生成安全证书,以及在weblogic中安全证书的配置过程,并且验证ssl通信。
自己学习openSSL的一些总结,很初步,希望能够帮助到跟我一样刚刚开始接触openSSL的朋友,很浅显,我也是初学者,希望大家不要见笑。
一:什么是openssl? 它的作用是?应用场景是什么? 即百度百科说:openssl是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,它可以避免信息被窃听到。 SSL是Secure Sockets Layer(安全套接层...
加压后除了openssl.exe以外,还有一个bat文件,这个可以帮助我们快速创建证书申请文件。 运行autocsr.bat,按照提示输入信息,之后按任意键确认。你会得到两个文件,一个server.key,这是私钥文件,还有一个名为...
用openssl签发ssl x.509证书 建立根证书: 制做服务器端的证书并用ca签名: 生成crt格式 生成cer格式
openssl,ssl,ssl工具,能容易生成证书,并做自签操作
OpenSSL 命令生成证书和自签名 OpenSSL 是一个免费的开放源代码密码学库,提供了各种加密算法和协议的实现。使用 OpenSSL 命令可以生成证书和自签名,以下是相关知识点的总结: 一、预安装准备 在开始使用 ...
openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件,用以支持SSL/TLS 协议的实现。
Linux平台下的SSL证书应用包括使用OpenSSL生成证书、使用Apache或Nginx服务器配置SSL证书等。 【SSL证书的优点】 SSL证书的优点包括提高网站的安全性、保护用户的隐私、提高搜索引擎优化等。SSL证书可以确保数据的...
使用Java实现根据ca购买到的根证书 批量生产客户端需要的.bks和.cer文件,从而实现双向认证
启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 代码如下: #!/bin/sh # # ssl 证书输出的根目录。 sslOutputRoot=”/etc/apache_ssl” if [ $# -eq 1 ]...
openssl和keytool都是生成https证书的工具,可以在windows上安装使用,附带一些操作说明,希望可以帮助大家
openssl生成秘钥工具,使用openssl工具生成秘钥,拿来即用。 使用方法:https://blog.csdn.net/hezheqiang/article/details/85243473