也許很多人和本人一樣深有體會,使用OpenSSL庫寫一個加密通訊過程,代碼很容易就寫出來了,可是整個工作卻花了了好幾天。除將程序編譯成功外(沒有可以使用的證書文件,編譯成功了,它并不能跑起來,并不表示它能正常使用,所以......),還需生成必要的證書和私鑰文件使雙方能夠成功驗證對方。
找了n多的資料,很多是說的很模糊,看了n多的英文資料,還是沒有辦法(不知道是不是外國朋友都比較厲害,不用說明得太清?),無意間找到yawl(yawl@nsfocus.com)寫的文章,難得的漢字(呵呵)。里面有生成證書部分,說到生成了Certificate Signing Request (CSR)文件后,就有點不太清楚了。后面生成自簽字證書在很多地方都可以找到的,簽名這部分,yawl說mod_ssl有比較好的腳本,但是筆者一時找不到,就自己用openssl的ca命令來完成了,也不是很麻煩。
說說本人的操作環境:無盤工作站(有權限問題使用起來不太方便),操作目錄是openssl/bin(沒辦法改不了環境變量,如果你可以改的話,就不用在這個目錄下工作了),為了方便本人把apps下的openssl.cnf也復制到了這個目錄下來。文件名都是以本人使用的來說了:
1.首先要生成服務器端的私鑰(key文件):
openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用于加密key文件(參數des3便是指加密算法,當然也可以選用其他你認為安全的算法.),以后每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要采取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名后形成服務端自己的證書.屏幕上將有提示,依照其指示一步一步輸入要求的個人信息即可.
3.對客戶端也作同樣的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf
4.CSR文件必須有CA的簽名才可形成證書.可將此文件發送到verisign等地方由它驗證,要交一大筆錢,何不自己做CA呢.
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf
5.用生成的CA的證書為剛才生成的server.csr,client.csr文件簽名:
Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
現在我們所需的全部文件便生成了.
另:
client使用的文件有:ca.crt,client.crt,client.key
server使用的文件有:ca.crt,server.crt,server.key
.crt文件和.key可以合到一個文件里面,本人把2個文件合成了一個.pem文件(直接拷貝過去就行了)