¿Puede el servidor Windwos CA generar certificados sha2?
Los certificados que deben generarse manualmente son:
No se puede encontrar el certificado disponible.
Es necesario configurar SSL bidireccional, pero falta el certificado del cliente.
El certificado debe personalizarse especialmente.
En primer lugar, ya sea Cygwin en Linux o Windows, antes de realizar las siguientes operaciones, debe confirmar que se ha instalado el paquete de software OpenSSL.
1. Cree el archivo de clave del certificado raíz (cree su propia CA) root.key:
openssl genrsa -des3 -out root.key
Salida del el contenido es:
[Lenin @ archer ~]$ OpenSSL gen RSA-des clave raíz de 3 salidas
Generar clave privada RSA, módulo de 512 bits de longitud
………………..++++++++++++
..++++++++++++
e Es 65537 (0×10001)
Ingrese la contraseña para root.key: ←Ingrese la nueva contraseña.
Autenticación: ingrese la frase de contraseña raíz. Clave:←Ingrese la contraseña nuevamente.
2. Cree el archivo de aplicación root.csr para el certificado raíz:
OpenSSL req-new-key root . contenido Sí:
[Lenin @ archer ~]$ OpenSSL req-new-key root . key-out root CSR
Ingrese la contraseña para root.key: ←Ingrese la contraseña. creado anteriormente.
Se le pedirá que ingrese información que se incorporará
en su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un nombre distinguido o DN.
Hay bastantes campos, pero puedes dejar algunos en blanco
Para algunos campos, habrá un valor predeterminado,
Si ingresas ". " , el campo quedará en blanco.
—–
Nombre del país (código de 2 letras) [au]: CN ← código de país, ingrese CN para China.
Nombre del estado o provincia (nombre completo) [a-state]: nombre completo de la provincia de Beijing, pinyin.
Nombre del lugar (como ciudad) []: El nombre completo de Beijing ← ciudad, Pinyin.
Nombre de la organización (como empresa) [Internet widgits pty ltd]: el nombre en inglés de mi empresa Corp.
Nombre de la unidad organizativa (como departamento)[]: ←Se puede dejar en blanco.
Nombre común (como su nombre)[]: ←No lo ingrese en este momento.
Dirección de correo electrónico[]:admin@mycompany.com/dirección de correo electrónico, puedes completarla como quieras.
Ingrese los siguientes atributos "adicionales"
Enviar con su solicitud de certificado
Contraseña de desafío[]: ←Se puede dejar en blanco.
Nombre de la empresa opcional[]: ←Se puede dejar en blanco.
3. Cree el certificado raíz root.crt dentro de los diez años a partir de la fecha actual:
OpenSSL x509-req-days 3650-sha 1-extensions v3 _ ca-sign key root. key -in root . req-out root . CRT
El contenido de salida es:
[Lenin @ archer ~]$ OpenSSL x509-req-days 3650-sha 1-extensions v3. _ ca -sign key root . key-in root . CSR-out root .
No hay problema para firmar
subject =/C = CN/ST = BeiJing/L = BeiJing/. O = mi empresa Corp./emailAddress=admin@mycompany.com
Obtener la clave privada
Ingrese la contraseña para root.key: ←Ingrese la contraseña creada anteriormente.
4. Cree la clave del certificado del servidor server.key:
OpenSSL gen RSA–des 3-out server 2048
El contenido de salida es:
p>
[Lenin @ archer ~]$ Clave de salida RSA de generación OpenSSL 2048
Generar clave privada RSA, módulo de 2048 bits de longitud
….+++
…………………………………………..+++
e es 65537 (0×10001)
Se le pedirá que ingrese una contraseña cuando se ejecute, que se utiliza para cifrar el archivo de clave (el parámetro des3 se refiere al algoritmo de cifrado; por supuesto, también puede elegir otros algoritmos que considere seguros). En el futuro, siempre que necesite leer este archivo, deberá ingresar la contraseña (mediante el comando o API proporcionada por openssl). Si le resulta inconveniente, también puede eliminar esta contraseña, ¡pero asegúrese de tomar otras medidas de protección!
Comando para eliminar la contraseña del archivo de clave:
Servidor OpenSSL RSA-in clave de salida
5. certificado de servidor Archivo de programa server.csr:
OpenSSL req-new key server
El contenido de salida es:
[Lenin @ archer ~]$ OpenSSL req- new-key server . key-out server .req
Se le pedirá que ingrese información que se incorporará
en su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un nombre distinguido o DN.
Hay bastantes campos, pero puedes dejar algunos en blanco
Para algunos campos, habrá un valor predeterminado,
Si ingresas ". " , el campo quedará en blanco.
—–
Nombre del país (código de 2 letras) [au]: CN ← Nombre del país, ingrese CN en China.
Nombre del estado o provincia (nombre completo) [algún-estado]: Beijing ← nombre de la provincia, pinyin.
Nombre del lugar (como ciudad) []: Beijing ← nombre de la ciudad, pinyin.
Nombre de la organización (como empresa) [Internet widgits pty ltd]: el nombre en inglés de mi empresa Corp.
Nombre de la unidad organizativa (como departamento)[]: ←Se puede dejar en blanco.
Nombre común (como su nombre)[]: ←Nombre de host del servidor. Si se completa incorrectamente, el navegador informará un error indicando que el certificado no es válido, pero esto no afectará el uso.
Dirección de correo electrónico[]:admin@mycompany.com/e-mail, puedes rellenarla como quieras.
Ingrese los siguientes atributos "adicionales"
Enviar con su solicitud de certificado
Contraseña de desafío[]: ←Se puede dejar en blanco.
Nombre de la empresa opcional[]: ←Se puede dejar en blanco.
6. Cree un certificado de servidor server.crt que sea válido por dos años a partir de la fecha actual:
OpenSSL x509-req-days 730-sha 1-extensions v3_req- Raíz de CA. Raíz de clave CA. Clave-Raíz de CAserial. Servidor de entrada serie SRL. ~]$ OpenSSL x509-req-days 730-sha 1-extensions v3 _ req-CAkey root. key-cacreate servidor de salida CSR.
La firma. está bien
subject =/C = CN/ST = BeiJing/L = BeiJing/O = mi empresa Corp./CN=/emailAddress=admin@mycompany.com
Obtener CA clave privada
Ingrese la contraseña para root.key:←Ingrese la contraseña que creó anteriormente.
7. Cree el archivo de clave de certificado de cliente client.key:
Cliente OpenSSL gen RSA-des 3-out 2048
El contenido de salida es:
[Lenin @ archer ~]$ OpenSSL gen RSA-des clave de cliente de 3 salidas 2048
Generar clave privada RSA, módulo de 2048 bits de longitud
…………………………………………………………………………..+++
…………………… …… ……………………………………………………………………………….+++
e es 65537 (0×10001)
Ingrese la contraseña para client.key:←Ingrese la nueva contraseña.
Autenticación: ingrese la contraseña del cliente. Clave:←Ingrese la contraseña nuevamente.
8. Cree el archivo de aplicación client.csr para el certificado de cliente:
openssl req -new -key client.key -out client.csr
El El contenido de salida es:
[Lenin @ archer ~]$ OpenSSL req-new-key client . key-out client CSR
Ingrese la contraseña de client.key: ←Ingrese. La contraseña creada en el paso anterior.
Se le pedirá que ingrese información que se incorporará
en su solicitud de certificado.
Lo que está a punto de ingresar es lo que se llama un nombre distinguido o DN.
Hay bastantes campos, pero puedes dejar algunos en blanco
Para algunos campos, habrá un valor predeterminado,
Si ingresas ". " , el campo quedará en blanco.
—–
Nombre del país (código de 2 letras) [au]: CN ← Nombre del país, ingrese CN en China.
Nombre del estado o provincia (nombre completo) [un determinado estado]: nombre de la provincia de Beijing, pinyin.
Nombre del lugar (como ciudad) []: Beijing ← nombre de la ciudad, pinyin.
Nombre de la organización (como empresa) [Internet widgits pty ltd]: el nombre en inglés de mi empresa Corp.
Nombre de la unidad organizativa (p. ej., parte)[]: ←No es obligatorio.
Nombre común (como tu nombre)[]: Lenin ←Tu nombre en inglés, puedes completarlo como quieras.
Dirección de correo electrónico[]:admin@mycompany.com/dirección de correo electrónico, puedes completarla como quieras.
Ingrese los siguientes atributos "adicionales"
Enviar con su solicitud de certificado
Contraseña de desafío[]: ←Se puede dejar en blanco.
Nombre de la empresa opcional[]: ←Se puede dejar en blanco.
9. Cree un certificado de cliente client.crt que sea válido por dos años a partir de la fecha actual:
OpenSSL x509-req-days 730-sha 1-extensions v3_req- Raíz de CA. Raíz de clave CRT. Raíz de CAserial. SRL-cliente de entrada en serie CSR.
El contenido de salida es:
[Lenin @ archer. ~]$ OpenSSL x509-req-days 730-sha 1-extensions v3 _ req-CA root .Cliente de entrada serial key-cacreate CRT
. está bien
p>asunto =/C = CN/ST = Beijing/L = Beijing/O = mi empresa Corp./CN=/emailAddress=admin@mycompany.com
Obtener clave privada de CA
Ingrese la contraseña para root.key:←Ingrese la contraseña creada anteriormente.
10. Fusione el archivo de certificado de cliente client.crt y el archivo de clave de certificado de cliente client.key en el paquete de instalación de certificado de cliente client.pfx:
OpenSSL pkcs 12- export-in. cliente. Cliente de clave de entrada CRT. Cliente de salida de clave.
El contenido de salida es:
[Lenin @ archer ~]$ OpenSSL pkcs 12-export-in client. -in key client . key-out client . pfx
Ingrese la contraseña para client.key: ←Ingrese la contraseña creada anteriormente.
Ingrese la contraseña de exportación:←Ingrese una nueva contraseña como contraseña de protección para el certificado del cliente. Esta contraseña es necesaria cuando el cliente instala el certificado.
Verificación – Ingrese la contraseña de exportación: ← Confirmar contraseña.
11. Guarde el archivo generado para su uso posterior, donde server.crt y server.key son los archivos de certificado que se usarán al configurar SSL unidireccional y client.crt es el certificado que se usará cuando configuración del archivo SSL bidireccional, client.pfx es el archivo de certificado que instalará el cliente al configurar SSL bidireccional.
. archivos crt y. La clave se puede fusionar en un archivo y los dos archivos se pueden fusionar en un archivo .pem (simplemente cópielo directamente).
Referencia:
////////////////////////////////// // ///////////////////////////////////////////////// ////// ///////////////////////////////////////////// ////////// ////////
////////////////////////// //////////// /////////////////////////////////////// //////////////// /////////////////////////////////// //////////////////// ///////
Los certificados X509 generalmente utilizan tres tipos de documentos, clave, csr y crt.
La clave es el formato openssl de la clave privada, normalmente el algoritmo rsa.
Csr es un archivo de solicitud de certificado que se utiliza para solicitar un certificado. Al crear un archivo csr, debe firmar la aplicación con su propia clave privada o puede configurar una clave.
Crt es el texto del certificado después de la certificación de CA (en Windows, en realidad es crt. El firmante usa su propia clave para firmar el certificado por usted).
Generación de 1.key
Servidor OpenSSL genrsa-des 3-out. clave 2048
Esto es para generar clave privada rsa, algoritmo des3, formato openssl. , potencia de 2048 bits. Server.key es el nombre del archivo clave. Para generar dicha clave, se requiere una contraseña de al menos cuatro dígitos. Puede generar una clave sin contraseña mediante:
opensslrsa-in server . key-out server key
Server.key es la versión sin contraseña.
2. Generar crt de CA
opensslreq-new-x509-key server. key-out ca. CRT-days 3650
Ca.crt generado. se utiliza para firmar el siguiente archivo server.csr.
Cómo generar 3.3.csr
servidor opensslreq-new-key. servidor de salida de claves
Debe ingresar el país, la región y la organización. y correo electrónico. ¿Lo más importante? Hay un nombre común, puedes escribir tu propio nombre o nombre de dominio. Si solicita https, este debe coincidir con el nombre de dominio; de lo contrario, se activará una alarma en el navegador. El archivo csr generado se entrega a la CA para que lo firme y forme el propio certificado del servidor.
Método de generación 4.crt
El archivo CSR debe estar firmado por una CA antes de que se pueda formar un certificado. Puede enviar este archivo a un lugar como verisign para su verificación. Esto cuesta mucho dinero, ¿por qué no realizar la CA usted mismo?
Servidor OpenSSL x509-req-days 3650-in. CSR-CA CAkey server. key-cacreate serial-out server.
Ingrese la clave de la clave. Finalmente, se completa la generación del certificado. La opción -CA indica el certificado csr que se firmará, la opción -CAkey indica la clave que se firmará, -CAserial indica el archivo de número de serie y -cacheteserial indica que el archivo se genera automáticamente si no existe.
Finalmente, genere la clave privada: server.key y el certificado SSL autocertificado: server.crt.
Fusión de certificados:
servidor de claves CRT & gt;