1. RSA 密钥(key)、证书签名请求(csr)、证书(cer)的生成顺序
2. 具体操作
a. 生成 RSA 密钥(私钥)
bash
openssl genrsa -aes256 -out ca.key 2048b. 生成证书签名请求(csr)
bash
# C-----国家(Country Name)
# ST----省份(State or Province Name)
# L----城市(Locality Name)
# O----公司(Organization Name)
# OU----部门(Organizational Unit Name)
# CN----产品名(Common Name)
# emailAddress----邮箱(Email Address)
openssl req -new -sha256 -key ca.key -out ca.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.yong.com/CN=CA/emailAddress=yong@163.com"可选:如果遇到报错:
bash
Enter pass phrase for ca.key:
Can't load /home/swd/.rnd into RNG
139882871017920:error:2406F079:random number generator:RAND_load_file:Cannot open file:../crypto/rand/randfile.c:88:Filename=/home/swd/.rnd那么执行:
bash
cd /home/swd
openssl rand -writerand .rnd
cd -c. 生成自签署证书(cer)
bash
openssl x509 -req -days 90 -sha256 -extensions v3_ca -signkey ca.key -in ca.csr -out ca.cer以上就是生成一个证书的流程
3. 一个案例(生成服务器证书和客户端证书)
(二)生成服务器证书
1、创建服务器私钥
bash
openssl genrsa -aes256 -out server.key 20482、请求证书
bash
openssl req -new -sha256 -key server.key -out server.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=SERVER/emailAddress=yong@163.com"3、使用CA证书签署服务器证书
bash
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in server.csr -out server.cer(三)生成客户端证书
1、生成客户端私钥
bash
openssl genrsa -aes256 -out client.key 20482、申请证书
bash
openssl req -new -sha256 -key client.key -out client.csr -subj "/C=CN/ST=SD/L=JN/O=QDZY/OU=www.test.com/CN=CLIENT/emailAddress=yong@163.com"3、使用CA证书签署客户端证书
bash
openssl x509 -req -days 36500 -sha256 -extensions v3_req -CA ca.cer -CAkey ca.key -CAserial ca.srl -CAcreateserial -in client.csr -out client.cer4. TLS 连接测试
a. 单向认证命令行:
服务器:
bash
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843客户端:
bash
openssl s_client -CAfile ca.cer -cert client.cer -key client.key -connect 127.0.0.1 -port 22843b. 双向认证:
服务器:
bash
openssl s_server -CAfile ca.cer -cert server.cer -key server.key -accept 22843 -Verify 1客户端:
bash
openssl s_client -CAfile ca.cer -cert server.cer -key server.key -cert client.cer -key client.key -connect 127.0.0.1 -port 228435. tcpdump 抓包
我们访问的是 127.0.0.1:22843 ,所以抓包的时候抓的环回接口 lo
输入 tcpdump -i lo tcp -w lo.pcap 抓包后过滤 TCP 流。
5. end
上面就是openssl 关于创建证书以及使用它的例子