使用OpenSSL建立根CA及自签名证书制作过程

1、使用OpenSSLt立根CAM自签名证书制作过程2009-12-2411:35:32|分类：openssl|字号订阅Openssl版本：0.9.8版本，可从处下载。testca是待建CA的主目录#newcerts子目录将存放#private目录用来存#conf目录用来存1.先建立如下目录结构：$home/testca#|newcerts/CA签发过的数组证书（备份目录）|private/放CA私钥1conf/放简化openssl命令行参数用的配置文件此外使用命令echo"01">serialtouchindex.txt在ca根

2、目录下创建文件serial（用来存放下一个证书的序列号）和indext.txt（证书信息数据库文件）。1.生成CA的私钥和自签名证书（根证书）创建配置文件：vi"$HOME/testca/conf/gentestca.conf"文件内容如下：ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffkTTTTTTTTTTTTTTTT，TnTTTTnT，TT，TTTT，TT，TT，TTTT，7TTfTfTfT7ffTfT7ffTfT7ffTfTfT7ffTfT7ffTfT7ffTfTfT7f

3、fTfT7ffTfT7ffTfTfT7ffTfreqdefault_keyfile=/home/cx/testCA/private/cakey.pemdefault_md=md5prompt=nodistinguished_name=ca_distinguished_namex509_extensions=ca_extensionsca_distinguished_nameorganizationName=ssorganizationalUnitName=sstccommonName=sstcCAemailAddress=GChen2#自己的邮件地址ca_extensionsbasicCons

4、traints=CA:trueffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff7T7T7T7T7T7T7T7T7T，TTTnTTnT，TT，TTTT，TT，TT，TTTT，7T7T7T7T7TTfTfTfT7ffTfT7ffTfT7ffTfTfT7ffTfT7ffTfT7ffTfTfT7ffTfT7ffTfT7ffTfTfT7ffTfT7ffTfTf然后执行命令如下：cd"$HOME/testca"opensslreq-x509-newkeyrsa:2048-ou

5、tcacert.pem-outformPEM-days2190-config"$HOME/testca/conf/gentestca.conf"执行过程中需要输入CA私钥的保护密码，假设我们输入密码：888888可以用如下命令查看一下CA自己证书的内容opensslx509-incacert.pem-text-noout创建一个配置文件，以便后续CA日常操作中使用vi"$HOME/testca/conf/testca.conf"文件内容如下:，kTTTTTTTTTTTTTTTTJTrTnTTFTr“TF”“TFTF“TF”TT""TF

6、TF”7T7T7T7T7Tffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff#Thecadefault_ca=testcadefaultcasectiontestcadir=/home/cx/testCAdatabase=$dir/index.txtnew_certs_dir=$dir/newcertscertificate=$dir/cacert.pemserial=$dir/serialnofileprivate_keyRANDFILEdefault_days=365certify

7、fordefault_crl_days=30nextCRLdefault_md=md5methodtouseunique_subject=nocreationof#topdir# indexfile.# newcertsdir# TheCAcert# serial=$dir/private/cakey.pem#CAprivatekey=$dir/private/.rand#randomnumberfile# howlongto# howlongbefore# messagedigest#Setto'no'toallowseveralctificateswithsamesubje

8、ct.Policy=policy_any#defaultpolicypolicy_anycountryName=optionalstateOrProvinceName=optionallocalityName=optionalorganizationName=optionalorganizationalUnitName=optionalcommonName=suppliedemailAddress=optionalffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffkTTTTTTTTTT

9、TTTTTTJTrTnTTFTr“TF”“TFTF“TF”TT""TFTF”7T7T7T7T7Tffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff1.自己生成公钥密钥，并用测试CA签发数字证书我们在平时测试时，可以自己用openssl为服务器或用户生成公钥密钥，并用上面创建的CA签发对应私钥（密钥）的数字证书。假设，我们就用刚才创建CA的操作系统用户为名为testuser的用户创建数字证书，我们要把待创建的私钥、证书等都放在目录$HOME/testuser下：?创建

10、密钥和证书请求（证书请求里包含了公钥）创建$HOME/testuser目录并执行命令：mkdir$HOME/testusercd$HOME/testuseropensslreq-newkeyrsa:1024-keyouttestkey.pem-keyformPEM-outtestreq.pem-outformPEM-subj"/O=TestCom/OU=TestOU/CN=testuser"执行过程中需要输入私钥的保护密码，假设我们输入密码：222222其中的CN最好和服务器名或IP地址一致。执行完后，testkey.pem即为用户的密钥，而testreq.pem即为证书请

11、求。可以用opensslreq-intestreq.pem-text-noout查看证书请求的内容。?用测试CA为testuser签发证书同样还在$HOME/testuser目录下执行命令：opensslca-intestreq.pem-outtestcert.pem-config"$HOME/testca/conf/testca.conf'执行过程中需要输入CA的密钥保护密码（刚才设置的888888）,并且最后询问你是否要给该用户签发证书时要选y。执行完后，testcert.pem即为证书，可以用命令opensslx509-intestcert.pem-text-noout

12、查看证书内容。?制作一个PKCS1骼式的文档（个人数字证书）我们制作的这个PKCS#12c件将包含密钥、证书和颁发该证书的CA证书。该文件可以直接用于服务器数字证书或个人数字证书。把前几步生成的密钥和证书制作成一个pkcs12文件的方法执行命令：opensslpkcs12-export-intestcert.pem-inkeytestkey.pem-outtestuser.p12-nametestuser-chain-CAfile"$HOME/testca/cacert.pem"执行过程中需要输入保护密钥的密码（222222）,以及新的保护pkcs12文件的密码。1.CA的

13、日常操作?根据证书申请请求签发证书假设收到一个证书请求文件名为req.pem,文件格式应该是PKCS#1蛤式（标准证书请求格式）首先可以查看一下证书请求的内容，执行命令：opensslreq-inreq.pem-text-noout将看到证书请求的内容，包括请求者唯一的名字（DN、公钥信息（可能还有一组扩展的可选属性）。执行签发命令：opensslca-inreq.pem-outcert.pem-config"$HOME/testca/conf/testca.conf'执行过程中会要求输入访问CA的私钥密码（刚才设置的888888）。完成上一步后，签发好的证书就是cert.p

14、em,另外$HOME/testca/newcerts里也会有一个相同的证书副本（文件名为证书序列号）。你可以执行以下语句来查看生成的证书的内容：opensslx509-incert.pem-text-noout?吊销证书（作废证书）一般由于用户私钥泄露等情况才需要吊销一个未过期的证书。（当然我们用本测试CA时其时很少用到该命令，除非专门用于测试吊销证书的情况）假设需要被吊销的证书文件为cert.pem,则执行以下命令吊销证书：opensslca-revokecert.pem-config"$HOME/testca/conf/testca.conf"生成证书吊销列表文件（CRL准