openssl生成服务器客户端秘钥已经颁发证书等配置命令

本文主要是介绍openssl生成服务器客户端秘钥已经颁发证书等配置命令,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

转载:http://davidbj.blog.51cto.com/4159484/1613780/
1.首先要生成服务器的私钥:
openssl genrsa -des3 -out server.key 2048

{注:openssl rsa -in server.key -out server.key
执行这个命令之后,再启动nginx时,就无需输入密码}


2. 用server.key生成一个证书
openssl req -new -key server.key -out server.csr
生成的csr 文件交给CA机构签名后,形成服务器自己的证书。按照提示,提供服务器证书的相关信息。



3. 对客户端也做同样的命令生成key及csr文件
openssl genrsa -des3 -out client.key 2048


4. 用client.key 生成一个证书
openssl req -new -key client.key -out client.csr


5. 生成CSR证书文件必须有CA机构的签名才可以形成证书。这里制作自己的CA生成一个key文件CA.key和一个根证书ca.crt
openssl req -new -x509 -keyout ca.key -out ca.crt

7. 创建openssl.conf 生成的配置文件,输入一下命令

#根据openssl.cnf生成配置文件
touch /etc/pki/CA/{index.txt,serial}
#设置副本名称开始内容
echo 01 > /etc/pki/CA/serial
#设置副本证书存放目录
mkdir /etc/pki/CA/newcerts


8. 用CA的证书为刚才生成的server.csr 和 client.csr进行文件签名

a:为服务器颁发证书
openssl ca -in server.csr -out server.crt -cert ca.crt-keyfile ca.key

注:该命令执行后需要选择两次[y/n],我们输入y,即可。


b: 为客户端颁发证书
openssl ca -in client.csr -out client.crt -cert ca.crt-keyfile ca.key


9:证书格式转换

#IE浏览器需要p12证书,所以需要签发p12证书,用于IE签发:
openssl pkcs12 -export -clcerts -in client.crt -inkeyclient.key -out client.p12
#IOS 证书签发格式
openssl x509 -in client.crt -out client.cer
#Android 证书签发格式
openssl pkcs12 -export -in client.crt -inkey client.key -out  client.pfx
#pem格式证书
openssl pkcs12 -export -in ddmdd_a.pfx -out client.pem




10 其他:
a. 删除私钥密码:
#删除私钥密码
openssl rsa -in client.key -out client_open.key

b. 证书撤销
echo 01 >   crlnumber
openssl ca -keyfile ca.key -cert ca.crt -revoke  client.crt  #从CA中撤销证书client.crt
openssl ca -gencrl -keyfile ca.key -cert ca.crt -outclient.crl   #生成或更新撤销列表


c. 查看证书信息
openssl x509 -in client.pem -noout -text

d. 
client 浏览器需要使用的文件:ca.crt,client.crt,client.key,client.pfx
server 端使用的文件有:     ca.crt,server.crt,server.key


11. 配置Nginx SSL

server {
      listen           443ssl;
      server_name     smsapi.chunbo.com;
      root             /var/www/smsapi.david.com;
      ssl on;
      ssl_certificate         /etc/nginx/conf.d/server.crt;
      ssl_certificate_key     /etc/nginx/conf.d/server.key;
      ssl_client_certificate  /etc/nginx/conf.d/ca.crt;
      ssl_verify_client       off;
      ssl_session_timeout     5m;
      ssl_protocols   SSLv2 SSLv3TLSv1;
      ssl_ciphers     HIGH:!aNULL:!MD5;
      ssl_prefer_server_ciphers   on;
      location / {
          indexindex.php index.html;
      }
      location ~ \.php$ {
          include        /etc/nginx/fastcgi_params;
          if (-f$request_filename) {
              fastcgi_pass  127.0.0.1:9000;
          }
          fastcgi_index   index.php;
          fastcgi_param   SCRIPT_FILENAME  $document_root$fastcgi_script_name;
      }
}
#nginx 配置完成,reloadNginx服务

12. 客户端导入证书
证书安装及使用把刚才生成的证书:根证书ca.crt和客户端client.crt(client.pfx)安装到客户端,ca.crt安装到信任的机构,client.crt直接在windows安装或安装到个人证书位置。(如果是IE浏览器,需要安装client.pfx证书,在导入的时候需要输入证书签发的密码)


13. 测试

接下来就可以通过浏览器进行测试。有的时候可能会作为一个API接口提供其它程序进行调用,比如我使用pythonrequests进行调用
import requests
responseObj = requests.get(' cert=('/path/client.crt','/path/client.key' ) )
data = responseObj.text
或:
responseObj = requests.get('  verify='/path/client.pem')
data = responseObj.text

如果是JAVA程序,需要P12格式证书。根据自己的需求进行选择。
给予Nginx+openssl 部署已经完成。

本文出自 “David”博客,请务必保留此出处http://davidbj.blog.51cto.com/4159484/1613780

这篇关于openssl生成服务器客户端秘钥已经颁发证书等配置命令的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/679050

相关文章

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

SpringCloud动态配置注解@RefreshScope与@Component的深度解析

《SpringCloud动态配置注解@RefreshScope与@Component的深度解析》在现代微服务架构中,动态配置管理是一个关键需求,本文将为大家介绍SpringCloud中相关的注解@Re... 目录引言1. @RefreshScope 的作用与原理1.1 什么是 @RefreshScope1.

SpringBoot日志配置SLF4J和Logback的方法实现

《SpringBoot日志配置SLF4J和Logback的方法实现》日志记录是不可或缺的一部分,本文主要介绍了SpringBoot日志配置SLF4J和Logback的方法实现,文中通过示例代码介绍的非... 目录一、前言二、案例一:初识日志三、案例二:使用Lombok输出日志四、案例三:配置Logback一

springboot security之前后端分离配置方式

《springbootsecurity之前后端分离配置方式》:本文主要介绍springbootsecurity之前后端分离配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的... 目录前言自定义配置认证失败自定义处理登录相关接口匿名访问前置文章总结前言spring boot secu

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

java中使用POI生成Excel并导出过程

《java中使用POI生成Excel并导出过程》:本文主要介绍java中使用POI生成Excel并导出过程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录需求说明及实现方式需求完成通用代码版本1版本2结果展示type参数为atype参数为b总结注:本文章中代码均为

springboot简单集成Security配置的教程

《springboot简单集成Security配置的教程》:本文主要介绍springboot简单集成Security配置的教程,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,... 目录集成Security安全框架引入依赖编写配置类WebSecurityConfig(自定义资源权限规则

SpringBoot中封装Cors自动配置方式

《SpringBoot中封装Cors自动配置方式》:本文主要介绍SpringBoot中封装Cors自动配置方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录SpringBoot封装Cors自动配置背景实现步骤1. 创建 GlobalCorsProperties

在java中如何将inputStream对象转换为File对象(不生成本地文件)

《在java中如何将inputStream对象转换为File对象(不生成本地文件)》:本文主要介绍在java中如何将inputStream对象转换为File对象(不生成本地文件),具有很好的参考价... 目录需求说明问题解决总结需求说明在后端中通过POI生成Excel文件流,将输出流(outputStre

Spring Boot结成MyBatis-Plus最全配置指南

《SpringBoot结成MyBatis-Plus最全配置指南》本文主要介绍了SpringBoot结成MyBatis-Plus最全配置指南,包括依赖引入、配置数据源、Mapper扫描、基本CRUD操... 目录前言详细操作一.创建项目并引入相关依赖二.配置数据源信息三.编写相关代码查zsRArly询数据库数