CA证书自签详解

时间:2025-03-18 11:38:18

本文记录linux环境和windows环境下CA证书的办法过程


一:linux环境下颁发CA证书


首先需要安装openssl。

首先需要利用openssl生成根证书,以后的服务器端证书或者客户端证书都用他来签发,可以建立多个根证书。

在CentOS6.3上安装Openssl的命令如下:
yum install openssl-devel
注意在安装的时候要安装“openssl-devel”,而不是“openssl”。
安装成功之后可以使用如下命令查看openssl的版本:
[root@cddserver1~]# openssl version
OpenSSL1.0.1e-fips 11 Feb 2013


第一步

1,生成根证书的私钥
$ openssl genrsa -out /home/ca/

2 利用私钥生成一个根证书的申请,一般证书的申请格式都是csr。所以私钥和csr一般需要保存好

openssl req -new -key /home/ca/ -out /home/ca/

3 自签名的方式签发我们之前的申请的证书,生成的证书为。

openssl x509 -req -days 3650 -in /home/ca/ -signkey /home/ca/ -out /home/ca/

为我们的证书建立第一个序列号,一般都是用4个字符,这个不影响之后的证书颁发等操作

echo FACE(01) > /home/ca/serial。

建立ca的证书库,不影响后面的操作,默认配置文件里也有存储的地方。

touch /home/ca/

6 建立证书回收列表保存失效的证书

openssl ca -gencrl -out /home/ca/ -crldays 7

---已上就完成了根证书的相关操作,下一步可以颁发证书了。

---生成和签发服务器身份验证证书,注意证书是自签名的,浏览器会提示不受信任

第二步

1,建立服务器验证证书的私钥

openssl genrsa -out /home/ca/

2,生成证书申请文件,制作签发证书的请求文件时,需要输入Common Name参数,此参数一定为当前主机的IP地址,否则将会显示证书错误。

openssl req -new -key /home/ca/ -out /home/ca/

3, 利用根证书签发服务器身份验证证书

openssl ca -in /home/ca/ -cert /home/ca/ -keyfile /home/ca/ -out /home/ca/


第三步  签发客户端身份认证证书

1,生成私钥

openssl genrsa -des3 -out /home/ca/users/1/ 1024

2,生成证书请求文件

openssl req -new -key /home/ca/users/1/ -out /home/ca/users/1/

3,签发证书

openssl ca -in /home/ca/user/1/ -cert /home/ca/ -keyfile /home/lengshan/ -out /home/ca/user/1/

客户端证书完成,注意如果在web服务器上使用客户端证书,需要在web服务器上使用根证书对客户端进行验证,切记!


制作过程中遇到的异常以及解决方法::

1:unable to open '/etc/pki/CA/'

解决办法:touch /etc/pki/CA/


二:windows环境下签发CA证书

windows环境下使用jdk自带的keytool颁发证书

1:在cmd窗口使用如下命令

keytool -genkey -alias wsria -keyalg RSA -keystore d:/keys/tomcat

注:名字姓氏答案 填写 服务器的ip或者域名


2:导出证书

keytool -export -file d:/keys/ -alias wsria -keystore d:/keys/tomcat
 
加入最后一段话~ 谢谢大家