這篇是建立OpenSSL證書的整個過程,有點長,參考很多文章,
也過濾了很多文章,跟這位darkstar21cn大陸同胞非常有同感... ...
筆者的操作環境:Windows 7 64bit ,
不過openssl這個安裝檔沒註明是不是支持64位元,因此套件也是使用32位元的檔案,
首先去這個網站http://slproweb.com/products/Win32OpenSSL.html抓需要的安裝檔,
筆者的版本:
Win32 OpenSSL v1.0.1e (不要抓light輕量版,會少東西。VC++編譯用的lib&include)
Visual C++ 2008 Redistributables (人家都說這套件可能可以解決一些問題,站長不猶豫裝了。)
然後參考這篇安裝 :
http://blog.xuite.net/nuvkzywpy/blog/57741229-SSL+(https)+on+WAMP
筆者個人是習慣丟program files 裡,又因為是32位元,
因此環境變數:C:\Program Files (x86)\OpenSSL-Win32\bin\openssl.cfg
環境變數方法該網址教學有,
筆者是常常會用,改天再整篇移植到筆者這網誌來 ... ...
STEP 2:
安裝完畢,接下來,得先確認你的openssl.cfg,
很多東西就算建立,cfg檔預設並沒有很貼心,
無法一安裝完就能用= =
demoCA生成證書的過程還會有問題,不做? 等著拼命報錯... ...
STEP 2的詳細內容過長且有圖,已經移植到筆者網誌:
http://brightli.blogspot.tw/2013/05/opensslunable-to-access-democa.html
STEP 3:
以下紅字為筆者修改部分,全部重新打有點累,
直接copy也不完全符合我操作的狀況。
剛剛建立的環境變數,可以省去下面還要下命令找cnf檔案
---------------------------------------------------------------------------------------------------
證書文件生成也許很多人和本人一樣深有體會,(看到這篇網誌第一行簡直超有體會!!!)
使用OpenSSL庫寫一個加密通訊過程,代碼很容易就寫出來了,
可是整個工作卻花了了好幾天。除將程序編譯成功外
(沒有可以使用的證書文 件,編譯成功了,它並不能跑起來,並不表示它能正常使用,所以......),
還需生成必要的證書和私鑰文件使雙方能夠成功驗證對方。
找了n多的資料,很多是說的很模糊,
看了n多的英文資料,還是沒有辦法(不知道是不是外國朋友都比較厲害,不用說明得太清?),
無意間找到darkstar21cn 寫的文章,難得的漢字(呵呵 ~ 而且是可行的!!)。
有幾篇說用腳本完成,卻說得不清不楚... ...只抱怨Openssll命令難用!!令筆者無言= =
1.首先要生成服務器端的私鑰(key文件): openssl genrsa -des3 -out server.key 1024
運行時會提示輸入密碼,此密碼用於加密key文件
(參數des3便是指加密算法,當然也可以選用其他你認為安全的算法.),
以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.
如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令: openssl rsa -in server.key -out server.key
2.openssl req -new -key server.key -out server.csr
生成Certificate Signing Request(CSR),
生成的csr文件交給CA簽名後形成服務端自己的證書.屏幕上將有提示,
依照其指示一步一步輸入要求的個人信息即可.
3.對客戶端也作同樣的命令生成key及csr文件:
openssl genrsa -des3 -out client.key 1024 openssl req -new -key client.key -out client.csr
4.CSR文件必須有CA的簽名才可形成證書.
可將此文件發送到verisign等地方由它驗證,要交一大筆錢,何不自己做CA呢.
openssl req -new -x509 -keyout ca.key -out ca.crt
5.用生成的CA的證書為剛才生成的server.csr,client.csr文件簽名:
Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl .cnf Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key
現在我們所需的全部文件便生成了.
另:client使用的文件有:ca. crt,client.crt,client.key
server使用的文件有:ca.crt,server.crt,server.key
.crt文件和.key可以合到一個文件裡面,本人把2個文件合成了一個.pem文件(直接拷貝過去就行了)
(筆者尚未研究合併,基本上已經能用他提到的文件做驗證了。)
---------------------------------------------------------------------------------------------------------------------------
很亂,往後再慢慢整理 ... ... 實在有點多。
至少能完成的重點文章都在了。
沒有留言:
張貼留言