OpenSSL 生成CA证书及终端用户证书

迈不过友情╰ 2022-11-29 12:54 337阅读 0赞

## 一、环境 ##

*  OpenSSL 1.0.2k
 *  FireFox 60.0 64位
 *  Chrome 66.0.3359.181 （正式版本）（32位）
 *  Internet Explorer 11.2248.14393.0
 *  Websocketd 0.3.0
 *  Nginx 1.12.2

## **二、生成CA根证书** ##

**1、准备ca配置文件，得到ca.conf**

$ vim ca.conf

内容如下：

[ req ]
    default_bits       = 4096
    distinguished_name = req_distinguished_name
    
    [ req_distinguished_name ]
    countryName                 = Country Name (2 letter code)
    countryName_default         = CN
    stateOrProvinceName         = State or Province Name (full name)
    stateOrProvinceName_default = JiangSu
    localityName                = Locality Name (eg, city)
    localityName_default        = NanJing
    organizationName            = Organization Name (eg, company)
    organizationName_default    = Sheld
    commonName                  = Common Name (e.g. server FQDN or YOUR name)
    commonName_max              = 64
    commonName_default          = Ted CA Test

**2、生成ca秘钥，得到ca.key**

$ openssl genrsa -out ca.key 4096

**3、生成ca证书签发请求，得到ca.csr**

$ openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

**4、生成ca根证书，得到ca.crt**

$ openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

## 三、生成服务端证书 ##

**1、配置文件**

准备配置文件，得到server.conf，内容如下：

[ req ]
    default_bits       = 2048
    distinguished_name = req_distinguished_name
    req_extensions     = req_ext
    
    [ req_distinguished_name ]
    countryName                 = Country Name (2 letter code)
    countryName_default         = CN
    stateOrProvinceName         = State or Province Name (full name)
    stateOrProvinceName_default = JiangSu
    localityName                = Locality Name (eg, city)
    localityName_default        = NanJing
    organizationName            = Organization Name (eg, company)
    organizationName_default    = Sheld
    commonName                  = Common Name (e.g. server FQDN or YOUR name)
    commonName_max              = 64
    commonName_default          = www.ted2018.com
    
    [ req_ext ]
    subjectAltName = @alt_names
    
    [alt_names]
    DNS.1   = www.ted-go.com
    DNS.2   = www.ted2018.com
    IP      = 192.168.93.145

[Chrome 58以后不再使用**CN**校验地址][Chrome 58_CN]（就是就是浏览器地址栏URL中的那个地址host）了，而是使用**SAN**，注意配置里写对，IE 11还是使用**CN**。

**2、服务端密钥**

生成秘钥，得到server.key，命令如下：

$ openssl genrsa -out server.key 2048

**3、服务端CSR**

$ openssl req -new -sha256 -out server.csr -key server.key -config server.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

**4、服务端证书**

用CA证书生成终端用户证书，得到server.crt

$ openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions req_ext -extfile server.conf

## 四、验证 ##

**1、配置web服务器**

Web服务器选用nginx，关键配置如下：

server {
            listen       443 ssl;
            server_name  localhost;
            root    D:\websocketd-0.3.0-windows_amd64;
    
            ssl_certificate      server.crt;
            ssl_certificate_key  server.key;
    
            ssl_session_cache    shared:SSL:1m;
            ssl_session_timeout  5m;
    
            ssl_ciphers  HIGH:!aNULL:!MD5;
            ssl_prefer_server_ciphers  on;
    
            location / {
                index  index.html index.htm;
            }
        }

把生成好的server.crt和server.key文件放在与 nginx.conf 同级目录下，然后启动nginx。

**2、改hosts**

在 /etc/hosts 文件中添加以下内容：

127.0.0.1 www.ted2018.com

**3、添加CA根证书**

浏览器右键 ca.crt 安装，安装到“**受信任的根证书颁发机构**”（不然server.crt还是不受信任的）

**4、Google浏览器验证**

Chrome浏览器访问https://www.ted2018.com

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 1][]

![20200821104423527.png][]

Google 浏览器无警告，访问成功。

**5、FireFox配置**

火狐浏览器--选项--隐私与安全--证书--查看证书--证书颁发机构--导入，把CA根证书**ca.crt**导入进来，选中该证书，编辑信任，勾选“此证书可以标识网站”。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 2][]

FireFox 浏览器访问https://www.ted2018.com

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 3][]

FireFox 浏览器无警告，访问成功。

**6、IE11配置**

IE11访问https://www.ted2018.com

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 4][]

IE11 浏览器无警告，访问成功。

到此 OpenSSL 生成CA证书及终端用户证书介绍完成。

[Chrome 58_CN]: https://www.thesslstore.com/blog/security-changes-in-chrome-58/
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70]: /images/20221124/8cee6a6d41f44ee285c21a58b4876ead.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 1]: /images/20221124/783b28c75910481b9c056fda1052090d.png
[20200821104423527.png]: /images/20221124/7a5b057a65964638a84560a5c5f11f61.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 2]: /images/20221124/45079f3c8c9546d6b7cf3657022e8913.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 3]: /images/20221124/4bfe27ea40a94931bd1fe0bc2c9be6f6.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3FxXzE5NzM0NTk3_size_16_color_FFFFFF_t_70 4]: /images/20221124/55bc493717f641a282a5863ee09a940c.png