『壹』 openssl生成.pem證書
測試發現openssl介面需要證書格式為.pem以下為生成方式。
前提:自己生成CA做證書簽發(詳細查看上一篇)
1.生成CAkey
openssl genrsa -out cakey.pem 1024
或者openssl genrsa -des3 -out cakey.pem 1024(需要密碼)
2.生成CAcert
openssl req -new -x509 -key cakey.pem -out cacert.pem
3.生成serverKey
openssl genrsa -out serverkey.pem 1024
或者openssl genrsa -des3 -out serverkey.pem 1024(需要密碼)
(轉換無密碼key:openssl rsa -in serverkey.pem -out serverkey_nopass.pem);
4.生成serverCSR
openssl req -new -key serverkey_nopass.pem -out servercsr.pem -config openssl.cnf
5.CA對serverCSR簽名
openssl ca -in servercsr.pem -out server.pem -cert cacert.pem -keyfile cakey.pem -config openssl.cnf
注可能會出現:failed to update database
TXT_DB error number 2
產生的原因是:
This thing happens when certificates share common data. You cannot have two
certificates that look otherwise the same.
解決方法:將 common name設置成不同的
注頒發客戶端流程同server類似。