1、环境准备
1.1 向设备添加动态库文件(用于支持openssl生成证书请求文件):
libssl.so.6、libgssapi_krb5.so.2、libkrb5.so.3、libcom_err.so.2、
libk5crypto.so.3、libresolv.so.2、libkrb5support.so.0、
1.2 创建所需结点:
mknod /dev/random c 1 8
mknod /dev/urandom c 1 9
1.3 放置生成证书的工具:
在设备上根目录新建文件夹/path/to : mkdir -p /path/to
将openssl-bin.tar.bz2 解压到设备/path/to目录下,并给/path/to/openssl/bin目录下的文件赋予可执行权限。
2、制作需CA(Certificate Authority)签署证书
2.1、生成私钥
进入/path/to/openssl/bin目录下,执行
方式一:./openssl genrsa -des3 1024 >server.key
注:采用DES3加密新产生的私钥server.key文件,每次要使用这个私钥时都要用输入密码。如果您的电子证书是用在apache等服务器中,您每次启动服务器时都要输入密码一次。
方式二:./openssl genrsa 1024 >server.key
注:采用128位rsa算法生成密钥server.key文件,这种方法产生的证书在apache等服务器中启动服务器时不会要求输入密码,同时也不会把私钥加密。
我们采用方式二生成私钥。
2.2 生成证书请求文件(Certificate Signing Request)
./openssl req -new -key server.key > server.csr
注:这是用步骤1的密钥生成证书请求文件server.csr, 这一步输入内容和创建自签名证书的内容类似,按要求输入就可以了。
2.3 签署生成CA证书
您只要把server.csr这个档案给第三方CA(Certificate Authority)机构签署生成证书就可以了。
2.4 自己做CA证书,生成证书ca.crt和私钥ca.key
2.4.1 在当前目录下创建如下文件和文件夹:
生成证书时,不仅需要ca.key和ca.crt,还需要读配置文件/path/to/openssl/f,所以必须要按照/usr/share/ssl/opensslf罩的设置,建
立起各层目录
mkdir demoCA
mkdir demoCA/newcerts免费ssl证书永久生成
mkdir demoCA/private
cat /dev/null > (确保创建的大小为0,不然执行以后的命令会报错)
echo "01" >> demoCA/serial
2.4.2 然后执行命令
./openssl req -days 3650 -new -x509 -keyout ca.key -
用生成的CA的证书和CA私钥(ca.crt,ca.key)为刚才生成的server.csr文件签名,从而生成服务器证书
./openssl ca -in server.csr - - -keyfile ca.key -config /path/to/openssl/ssl/opensslf
2.5 放置生成的CA证书
执行完以上步骤后,会生成和server.key.
将这两个文件分别复制到apache安装目录中的和conf/ssl.key目录中。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论