OpenSSL是一个多用途的、跨平台的密码工具,能够提供创建SSL套接层的库,以及一套用于管理SSL网站的强大的工具。以下是在使用OpenSSL时,你可能需要执行�������的一些常见的任务。
生成证书请求
获取签名SSL证书涉及到大量的业务验证流程。为了生成证书签名请求(CSR),请执行以下命令。
openssl req -new -newkey rsa:1024 -nodes -�����keyout key.pem -out req.pem
让我们回顾一下命令:
- req激活处理证书请求签名的部分openssl
- -new生成一个新的请求
- -newkey生成一个新的私有密钥
- Rsa:1024 1024是私有密钥的位长度。你也可以使用2048和512或更短的密钥,但是请注意,密钥的强队应当与你的证书机构提供给你的服务类型相匹配。
- -nodes没有数据加密标准,可以在没有密码保护的情况下,存储私有密钥。尽管这不是最好的做法,但是许多人都没有设置密码或在之后再移除它,因为拥有密码保护密钥的服务在没有输入密码的情况下,是不能自动重启的。
- -keyout key.pem在一个名为key.pem的文件中存储私有密钥
- -out req.pem在一个名为key.pem的文件中存储证书请求
这一命令将以交互方式运行,并向你询问大量的问题,请注意,你的证书机构将会再次和交叉确�����认你的答案,同时你的答案必须与有关你的公司的注册信息的其他合法文档相一致。以下是提交正确答案的一些技巧。
填写你的公司所在国家的国家代码(两个字母),如果你不确定使用哪个代码,请咨询wikipedia。
Country Name (2 letter code) [AU]:
美国州名,对于其他国家为大的管理区域:
State or Province Name (full name) [Some-State]:
开元旗牌
Locality Name (eg, city) []:
公司�����全名,请从你的公司注册表中��������把这一名字复制过来。使用&而不是“和”,诸如这样的一个差别可能会使你的请求遭到拒绝。
Organization Nam�������e (eg, company) [Intern������et Widgits Pty Ltd]:
公司子部门或产品名
Organizational Unit Name (eg, section) []:
你的域名,如果是通配符证书,使用星号,像这样:*.mycompany.com
Common Name (eg, YOUR name) []:
用证书显示的电子邮件
Email Address []:
在新生成的请求上使用这一命令来再次确认信息:
openssl req -in req.pem -noout -text
将名为key.pem的私有密钥文件保存在一个安全的位置。之后它将被用来配置web服务器。应当将请求文件req.pem发送������给你的证书机构�������,进行签名。
生成自我签名密钥
按以下步骤操作,你可以为一个开发服务器生成自我签名密钥。
创建一个空目录然后进入它。执行以下命令。请注意反向斜线(“\”)允许单条命令跨越若干行。在我们的例子������中,它被用来适应这个文件中的命令:
$ openssl req -x509 -days 365 -nodes������� -newkey rsa:1024 \
-keyout key.pem -out cert.pem
你可以按enter建,将所有答案设为默认值,除了这一个:
Common Name (eg, YOUR name) []:
输入用于开发服务器的dns记录,作为这个问题的答案。
好了,两个新的PEM文件就将创建好了,“cert.p������em”包含你的证书,而“key.pem”包含自我签����名密钥。
测试SSL服务器
你可以使用在客户端创建的OpenSSL来连接到web服务器,并显示�����证书链。将服务器地址和端口替换为你自己的:
$ openssl s_client -conne��������c�������t www.facebook.com:443 -showcerts
以下是一个典型的输出,其中包括了证书链:
CONNECTED(00000003)
depth=1 O = CA, OU = "CA", OU = CA, OU = CA
verify error:num=����20:unable to get local issu����er certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=Palo Alto/O=mysi�����te/CN=mysite�������.com
i:/O=CA/OU=CA/OU=CA/OU=CA
-----BEGIN CERTIFICATE-----
MIIDnzCCAwigAwIBAgIQCSGX4cDpzQPaNSQ2VhCGgTANBg���kqhkiG9w0BAQUFADCB
ujEfMB0GA1UEChMWVmVyaVNpZ24gVHJ1c3QgTmV0d29y����azEXMBUGA1UECxMOVmVy
aVNpZ24sIEluYy4xMzAxBgNVBAsT�����KlZlcmlTaWdu�������IEludGVybmF0aW9uYWwgU2Vy
A .... MANY LINES LIKE THAT .... .... MANY �����LINES LIKE THAT ....
gjRaROuWGxfY25K��������ebCQpoBW2PJp3S1JmqHHyxjk4mzr+tzWK0Q����n+tlBUy9igtkIh
VybjO+AxBZve1qyJIsVraz8wrw==
-----END CERTIFICATE-----
1 s:/O=CA/OU=CA/OU=CA/OU=CA
i:/C=US/O=CA/OU=CA
-----BEGIN CERTIFICATE-----
MIIDgzCC�����AuygAwIBAgIQRvzrurTQ������Lw+SYJgjP5MHjzANBgkqhkiG9w0BAQUFADBf
MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVB�������AsT
LkNsYXNzI������DMgUHVibGlj�������IFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw
A .... MANY LINES LIKE THAT .... .... MAN�����Y LINES LIKE������ THAT ....
OfamggN������lEcS8vy2m9dk7C����rWY+rN4uR7yK0xi1f2yeh3fM/1z+aXYLYwq6tH8sCi2
6UlIE0uDihtIeyT3O���N5vQVS4q1drBt/Ho��������tSp9vE2YoCI8ot11oBx
-----END CERTIFICATE-----
---
Server certificate
subject=/C=US/ST=California/L����=Palo Alto/O=m������ysite/CN=mysite.com
issuer=/O=CA/OU=CA/OU=CA/OU=CA
---
No client certificate CA names sent
---
SSL handshake has read 2007 bytes and wri�������tten 343 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 1024 bit
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : SSLv3
Cipher : RC4-MD5
Session-ID: 244BE55....48F793
Session-ID-ctx:
Master-Key: 18674D2....B3465946941C0C77DF2DE
Key-Arg : None
PSK identity: None
PSK identity hint: None
Start Time: 1325335498
Timeout : 7200 (sec)
Verify return code: 20 (unable to get������ local issuer certificate)
---
你可以将部分输出复制到PEM文件中,并利用验证openssl命令对它们进行进一步检查。
我的评论
还未登录?