发布于admin

如何为自己的网站生成SSL证书

如何为自己的网站生成SSL证书

1. 首先保证安装了Openssl,并且能够在在终端执行它。
2. 为你的Apache(三倍-DES加密,PEM格式) 创建一个RSA私钥。

$   openssl   genrsa   -des3   -out   server.key   1024

请将你的server.key文件备份,并且记住你输入得进入密码。能够通过以下的命令察看该文件:

$   openssl   rsa   -noout   -text   -in   server.key

你也可以通过以下的命令创建一个没有加密的版本(不建议):

$   openssl   rsa   -in   server.key   -out   server.key.unsecure

3. 通过RSA私钥文件来创建一个证书请求文件(PEM格式,CSR)

$   openssl   req   -new   -key   server.key   -out   server.csr

同样,你需要做一个备份,同时,在Openssl命令行提示输入CommonName的过程中,你必须输入一个FQDN(一个完全的有资格的域名),一个站点生成了一个CSR请求文件。可以通过以下的命令来查看CSR的详细内容:

$   openssl   req   -noout   -text   -in   server.csr

4. 现在,你已经有了一个证书请求文件(CSR)了,你可以将此文件发送给一个认证机构来进行认证,当然会等一段时间并且花上一些钱。或者通过自己的CA认证机构来进行认证。
§ Verisign
http://digitalid.verisign.com/server/apacheNotice.htm 
§ Thawte Consulting
http://www.thawte.com/certs/server/request.html 
§ CertiSign Certificadora Digital Ltda.
http://www.certisign.com.br 
§ IKS GmbH
http://www.iks-jena.de/produkte/ca/
§ Uptime Commerce Ltd.
http://www.uptimecommerce.com 
§ BelSign NV/SA
http://www.belsign.be
通过以下的命令来察看经过认证的证书信息。

$   openssl   x509   -noout   -text   -in   server.crt

5. 现在,我们有了两个文件,server.key和server.crt ,下面就是在Apache中的httpd.conf文件配置:

SSLCertificateFile         /path/to/this/server.crt
SSLCertificateKeyFile   /path/to/this/server.key

请求文件不再需要了。
· 使用自认证机构:
最简单的就是通过CA.pl或者是通过CA.sh来对请求文件签名。
1. 为你的CA创建一个RSA私钥(三DES加密并且是PEM格式):

$   openssl   genrsa   -des3   -out   ca.key   1024

备份并且记住你输入的访问密码。通过以下的命令可以查看私钥的详细信息:

$   openssl   rsa   -noout   -text   -in   ca.key

你也可以创建一个非加密的PEM格式的私钥:

$   openssl   rsa   -in   ca.key   -out   ca.key.unsecure

2. 创建一个自签名的证书文件(X.509 结构,输出为PEM格式):

$   openssl   req   -new   -x509   -days   365   -key   ca.key   -out   ca.crt

通过以下的命令查询:

$   openssl   x509   -noout   -text   -in   ca.crt

3. 准备一个脚本文件来对请求文件签名,Openssl不允许简单的通过openssl ca来对请求文件签名。所以一个名为sign.sh的脚本文件(mod_ssl的子目录pkg.contrib下),是用这个来进行签名,不过还是建议使 用下面的方法进行签名。

4. 现在可以用这个脚本来进行签名了(刚才生成的CA的私钥和证书必须在这个脚本的目录下):

$   ./sign.sh   server.csr

得到一个证书文件—〉server.crt.
· 怎样更改我的私钥的 pass-phrase 密码?
只需要简单的读取它并重新写入,同时指定它的pass-phrase ,通过以下的命令完成:

$   openssl   rsa   -des3   -in   server.key   -out   server.key.new
$   mv   server.key.new   server.key

这时,你被要求两次来输入一个PEM 的pass-phrase,第一次要求输入旧密码,第二次要求输入新密码。
· 怎样可以消除Apache启动的时候的密码(pass-phrase)提示对话框:
原因是保存在你的私钥文件中的RSA私钥是一个一加密格式保存的。密码是保证能够读取这个密钥文件,如果保证你的服务器足够的安全的话,可以通过以下的命令消除:
1. 从RSA私钥中移除密码(同时保留源文件):

$   cp   server.key   server.key.org
$   openssl   rsa   -in   server.key.org   -out   server.key

2. 保证私钥只能被root用户读取:

$   chmod   400   server.key

现在这是一个没有没有加密的密钥拷贝。在使用这个密钥文件的时候,将不会再提示你输入密码,然而,如果其他任何人的到这个私钥文件,他都可以在网络上模仿你。所以一定要保证这个密钥文件只能被root用户读取。
· 怎么验证私钥文件和我的证书文件是匹配的?
私钥文件包括一系列的数字。这些数字中的两个是“来自“公钥文件的,其他的是私钥的一部分。公钥的一些bit值被嵌入到你的证书中(我们可以从证书CSR中得到),通过以下的命令来查看输出的数字,同时比较这些数字:

$   openssl   x509   -noout   -text   -in   server.crt
$   openssl   rsa   -noout   -text   -in   server.key

他们必须一致,因为它们都是很长的串,所以可以通过下面的方法来查看:

$   openssl   x509   -noout   -modulus   -in   server.crt   |   openssl   md5
$   openssl   rsa   -noout   -modulus   -in   server.key   |   openssl   md5

这时比较两个短的数字串

$   openssl   req   -noout   -modulus   -in   server.csr   |   openssl   md5

SSL证书制作

证书签名方案

使用OpenSSL制作证书其实还蛮简单的,只是证书签名的部分有一点复杂,方法有三:

  1. 交由受浏览器信任的第三方证书颁发机构签名;
  2. 自签名;
  3. 自制CA证书并用其签名。

对于上线运营的网站来说,第一个方案是首选,因为只有这样浏览器才不会报警。过去买证书很贵,现在倒是有免费的了,比如IE和Firefox都内置的StartSSL

不同的证书颁发机构对于证书生成多少都会有自己的要求,所以本文主要讨论后两种方案。

自签名证书

注:下面提到的很多命令都需要一个openssl配置文件,该文件一般名为openssl.cnf。Linux里一般不用管,Windows可使用参数config指定路径,使用环境变量OPENSSL_CONF也可以。

使用如下命令即可生成自签名证书:

openssl req -x509 -newkey rsa:1024 -nodes -days 365 -out self.pem -keyout self.key

req命令表示创建证书,newkey参数表示创建私钥而不是从已存在的文件中读取,nodes参数表示不加密私钥。如果不添加nodes参数,以后每次使用私钥时都必须输入密码(如Apache每次重启)。

输入证书信息时,Common Name需要写域名,支持通配符,如*.domain.tld。

程序运行完成后,self.pem即为完成签名的证书,self.key则为私钥。

使用上述命令创建的证书只能写一个域名匹配字符串,如写了*.domain.tld之后,访问https://domain.tld仍然会报错。如果想在一个证书中指定多个域名匹配字符串,则需要打开openssl.cnf文件,在末尾处添加如下内容:

[ ca_x509v3_more_cn_ext ]
nsComment="OpenSSL Generated Certificate"
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer:always
basicConstraints=CA:true
subjectAltName = DNS:domain.tld,DNS:*.domain.tld

将subjectAltName行修改为需要的内容后保存退出,使用如下命令重新生成自签名证书:

openssl req -x509 -newkey rsa:1024 -nodes -days 365 -out self.pem -keyout self.key -extensions ca_x509v3_more_cn_ext

自制CA证书并用其签名

如需要使用多个证书,每一个都自签名则意味着每一个都需要导入浏览器,这样就很麻烦。自制CA证书并用其签名后,无论制作了多少个证书,都只需要将自制的CA证书导入浏览器即可,相对来说方便些。

上例中用一条命令直接生成了私钥和证书,这次换个方法,分解为两步。

首先,生成自己的个人私钥:

openssl genrsa -des3 -out my.key 2048

des3参数表示使用该算法加密生成的私钥,以后每次使用私钥时都必须输入密码,去掉这个参数则不进行加密。

根据个人私钥生成自签名CA证书:

openssl req -x509 -key my.key -days 911 -new -out my.pem

输入证书信息时,Common Name可以写自己的名字。将该CA证书导入浏览器后,该名字会显示在证书管理器中。

接下来生成服务器的私钥和证书:

openssl req -newkey rsa:1024 -nodes -days 365 -out server_unsigned.pem -keyout server.key

再之后,就可以用个人证书签名服务器证书了:

openssl ca -days 365 -md sha1 -in server_unsigned.pem -out server.pem -cert my.pem -keyfile my.key

如该命令报错找不到index.txt之类的,视openssl.cnf中的配置,则需要做点准备工作:

mkdir demoCA
mkdir demoCAnewcerts
touch demoCAindex.txt
echo 11 > demoCAserial

index.txt为空,serial随便写一个两位的数字进去。

多个域名的支持问题,跟上面说的一样,添加extensions参数:

openssl ca -days 365 -md sha1 -in server_unsigned.pem -out server.pem -cert my.pem -keyfile my.key -extensions ca_x509v3_more_cn_ext

完成后,server.key和server.pem即为已签名的证书及私钥。如果用在Lighttpd中,将两个文件合并即可。

最后,将my.pem导入至浏览器中“受信任的根证书颁发机构”即可。

其他

如果要去掉私钥的密码保护,可以这样做:

openssl rsa -in my.key -out my_plain.key

如果需要根据私钥生成公钥,可以这样做:

openssl rsa -in my.key -pubout -out my_public.key

证书生成后,可以使用如下命令查看详细信息:

openssl x509 -fingerprint -text -in my.pem

使用证书加密信息:

openssl smime -encrypt -in ptest.txt -out etest.txt my.pem

使用私钥解密:

openssl smime -decrypt -in etest.txt -out dtest.txt -inkey my.key

若需要DER格式的证书,可使用如下命令进行转换:

openssl x509 -in my.pem -outform DER -out my.der