windows 下使用openssl创建CA

最新推荐文章于 2025-02-11 09:51:06 发布

iteye_17604

最新推荐文章于 2025-02-11 09:51:06 发布

阅读量804

点赞数

CC 4.0 BY-SA版权

分类专栏：数字证书文章标签：数据库

本文链接：https://blog.youkuaiyun.com/iteye_17604/article/details/82199455

数字证书专栏收录该内容

2 篇文章

订阅专栏

openssl应用--创建个人CA

首先安装openssl-0.9.7，安装成功以后，为了方便执行openssl指令,将openssl路径加入PATH中
$OPENSSL_HOME\out32dll\release加入PATH

使用openssl创建CA

1.生成目录树
CA认证中心需要下列相关目录，请手动建立下列目录。
CARoot
|__certs
|__newcerts
|__private
|__crl

2.生成随机数文件
在private目录下生成随机数文件.rnd,(可将一个文件内容拷贝.rnd，如将一exe文件拷贝成.rnd)。
3.生成文本数据库文件
CARoot根目录下手动创建一个空的文本数据库文件index.txt。
4.生成证书序列号文件
在CARoot下创建证书序列号文件serial,使用文本编辑器打开,在文件中输入"01";(文件内容无银号)，或者使用命令$echo 01>serial (注意确认serial文件内容为01，并且无引号)。
5.产生CA私钥
genrsa -out private\ca.key -rand private\.rnd 2048
genrsa -out private\ca.key -rand private\.rnd -des3 2048 (生成des3加密的私钥文件)
生成2048位的私钥文件，为保障安全使用第二种，用des3加密。

其他相关命令
rsa -noout -text -in ca.key //查看私钥
rsa -in ca.key -out ca.key.unsecure //生成一个不需要口令保护的私钥,不推荐

6.修改配置文件

将$OPENSSL_HOME下的apps\openssl.cnf拷贝到CARoot目录下，然后修改CA的配置文件
修改openssl.cnf文件

将下面部分修改：
[ CA_default ]

dir   = ./demoCA   # Where everything is kept
certs   = $dir/certs   # Where the issued certs are kept
crl_dir   = $dir/crl   # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts   # default place for new certs.

certificate = $dir/cacert.pem # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.pem # The current CRL
private_key = $dir/private/cakey.pem# The private key
RANDFILE = $dir/private/.rand # private random number file

修改后
RANDFILE = $ENV::HOME/private/.rnd
(修改默认的随机数文件的位置)

[ CA_default ]

dir   = ./   # Where everything is kept
certs   = $dir/certs   # Where the issued certs are kept
crl_dir   = $dir/crl   # Where the issued crl are kept
database = $dir/index.txt # database index file.
new_certs_dir = $dir/newcerts   # default place for new certs.

certificate = $dir/private/ca.crt # The CA certificate
serial = $dir/serial # The current serial number
crl = $dir/crl.cer # The current CRL
private_key = $dir/private/ca.key# The private key
RANDFILE = $dir/private/.rnd # private random number file

7.生成CA证书
req -new -x509 -days 3650 -key private\ca.key -out private\ca.crt -config openssl.cnf
(查看证书文件：x509 -in cacert.pem -text -noout)

8.创建CA的自签名证书
genrsa -out certs\cert.key -rand private\.rnd -des3 2048
(查看私钥文件rsa -in cert.key -noout -text)
req -new -x509 -days 3650 -key certs\cert.key -out certs\cert.crt -config openssl.cnf

ca -ss_cert certs\cert.crt -config openssl.cnf -policy policy_anything -out certs\signedcert.crt
选项ss_cert 表明是自签名证书

证书格式说明：
windows不能识别pem文件格式,能够识别crt文件,单纯的将后缀名改变,windows也是不能识别的,
打开签名后的证书(pem文件格式，尽管后缀名为crt)，保留BEGIN CERTIFICATE and the END CERTIFICATE之间的内容,删除其他内容,windows就能够识别了。
(windows的证书crt格式就是
-----BEGIN CERTIFICATE-----
证书内容
-----END CERTIFICATE-----

将PEM证书装换成DER证书
$ openssl x509 -in tom.crt -out cert.der -outform DER

如果创建证书失败，失败后重做的方法：
serial文件中删除证书序列号
index.txt数据库文件中删除该证书的条目
重新创建证书就可以了

===================================================================
生成其他用户证书
1、生成证书请求
OpenSSL> req -newkey rsa:1024 -keyout testkey.pem -out testreq.pem -rand private\.rnd -config openssl.cnf
(查看证书请求:req -in testreq.pem -text -noout)

2、使用证书请求签发证书
ca -in testreq.pem -policy policy_anything -config openssl.cnf
-policy policy_anything 使用这个CP签发证书
默认的是policy_match 要求countryName,State,Organization必须匹配
ca -in testreq.pem -days 730 policy policy_anything -config openssl.cnf
生成的证书在newcerts目录下 xxx.pem
===================================================================
其他可能会用到的相关操作：

撤销证书
copy newcerts\02.pem test.pem (拷贝一个证书副本进行撤销)
ca -revoke test.pem -config openssl.cnf

产生CRL
OpenSSL> ca -gencrl -out crl041012.crl -config openssl.cnf
(查看CRL文件:crl -in crl041012.crl -text -noout)

使用CA根证书验证CRL
OpenSSL> crl -in crl041012.crl -noout -CAfile private\ca.crt