準備步驟
下載Openssl並編譯生成響應的庫,假設目錄爲E:/電子書/OpenSSL/openssl-0.9.8g,編譯成功後Openssl會將響應的lib,dll及可執行程序存放到out32dll文件中
生成CA
1. 在DOS窗口中轉換到out32dll目錄下。
例如:cd E:/電子書/OpenSSL/openssl-0.9.8g/out32dll
2. 生成CA的key文件
運行如下命令:
openssl genrsa -out catest.key 1024
運行成功後,在out32dll目錄下可以看到CA的key文件catest.key
3. 生成CA證書
運行如下命令:
openssl req -new -x509 -key catest.key -out catest.crt
運行成功後,在out32dll目錄下可以看到CA證書catest.crt
注意事項:
(1)
在輸入命令後,系統提示輸入證書的一些信息,內容如下:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BeiJing
Locality Name (eg, city) []:BDA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:SINOI
Organizational Unit Name (eg, section) []:media
Common Name (eg, YOUR name) []:wlq
Email Address []:[email protected]
4. 上述步驟成功後就可以使用該CA證書爲其他證書請求進行簽發證書
利用CA對證書請求進行簽發證書
假設要生成一個名稱爲testcrt的證書
1. 在DOS窗口中轉換到out32dll目錄下。
例如:cd E:/電子書/OpenSSL/openssl-0.9.8g/out32dll
2. 生成的key文件
運行如下命令:
openssl genrsa -out testcrt.key 1024
運行成功後,在out32dll目錄下可以看到CA的key文件testcrt.key
3. 生成CSR文件
運行如下命令:
openssl req -new -key testcrt.key –out testcrt.csr
運行成功後,在out32dll目錄下可以看到testcrt.csr文件
注意事項:
(1)
在輸入命令後,系統提示輸入證書的一些信息,內容如下:
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BeiJing
Locality Name (eg, city) []:BDA
Organization Name (eg, company) [Internet Widgits Pty Ltd]:SINO
Organizational Unit Name (eg, section) []:media
Common Name (eg, YOUR name) []:server
Email Address []:[email protected]
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:
4.CSR文件必須有CA的簽名纔可形成證書,利用上面生成的CA證書對該csr文件進行簽名生成證書
運行命令如下:
openssl x509 -req -in testcrt.csr –out testcrt.crt -CA catest.crt –CAkey
catest.key -days 365 –CAcreateserial
運行成功後,在out32dll目錄下可以看到被簽名後生成的證書testcrt.crt,打開該證書可
以看到頒發者字段爲上面生成的CA的信息,主題字段爲在步驟3中輸入的信息
注意事項
在上述過程中,如果出現類似openssl目錄不正確的錯誤的話,原因可能是由於沒有安裝openssl造成的,這個可以通過按照openssl提供的INSTALL.W32文件中的如下命令來安裝:
nmake -f ms/ntdll.mak install
本人在剛開始沒有執行此命令時就出現一些類似什麼文件找不到的錯誤,執行此語句後就不出錯了。