也許很多人和本人一樣深有體會(huì),使用OpenSSL庫寫一個(gè)加密通訊過程,代碼很容易就寫出來了,可是整個(gè)工作卻花了了好幾天。除將程序編譯成功外(沒有可以使用的證書文件,編譯成功了,它并不能跑起來,并不表示它能正常使用,所以......),還需生成必要的證書和私鑰文件使雙方能夠成功驗(yàn)證對(duì)方。
找了n多的資料,很多是說的很模糊,看了n多的英文資料,還是沒有辦法(不知道是不是外國朋友都比較厲害,不用說明得太清?),無意間找到y(tǒng)awl(yawl@nsfocus.com)寫的文章,難得的漢字(呵呵)。里面有生成證書部分,說到生成了Certificate Signing Request (CSR)文件后,就有點(diǎn)不太清楚了。后面生成自簽字證書在很多地方都可以找到的,簽名這部分,yawl說mod_ssl有比較好的腳本,但是筆者一時(shí)找不到,就自己用openssl的ca命令來完成了,也不是很麻煩。
說說本人的操作環(huán)境:無盤工作站(有權(quán)限問題使用起來不太方便),操作目錄是openssl/bin(沒辦法改不了環(huán)境變量,如果你可以改的話,就不用在這個(gè)目錄下工作了),為了方便本人把a(bǔ)pps下的openssl.cnf也復(fù)制到了這個(gè)目錄下來。文件名都是以本人使用的來說了:
1.首先要生成服務(wù)器端的私鑰(key文件):
openssl genrsa -des3 -out server.key 1024
運(yùn)行時(shí)會(huì)提示輸入密碼,此密碼用于加密key文件(參數(shù)des3便是指加密算法,當(dāng)然也可以選用其他你認(rèn)為安全的算法.),以后每當(dāng)需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個(gè)口令,但一定要采取其他的保護(hù)措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr -config openssl.cnf
生成Certificate Signing Request(CSR),生成的csr文件交給CA簽名后形成服務(wù)端自己的證書.屏幕上將有提示,依照其指示一步一步輸入要求的個(gè)人信息即可.
3.對(duì)客戶端也作同樣的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr -config openssl.cnf
4.CSR文件必須有CA的簽名才可形成證書.可將此文件發(fā)送到verisign等地方由它驗(yàn)證,要交一大筆錢,何不自己做CA呢.
openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf
5.用生成的CA的證書為剛才生成的server.csr,client.csr文件簽名:
Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
現(xiàn)在我們所需的全部文件便生成了.
另:
client使用的文件有:ca.crt,client.crt,client.key
server使用的文件有:ca.crt,server.crt,server.key
.crt文件和.key可以合到一個(gè)文件里面,本人把2個(gè)文件合成了一個(gè).pem文件(直接拷貝過去就行了)