利用OpenSSL创建证书链并应用于IIS7

一、系统环境说明

  • Linux & OpenSSL
1 Linux localhost 2.6.18-194.el5 #1 SMP Tue Mar 16 21:52:39 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux
2 [[email protected] /home/study]#openssl version
3 OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008
  • Windows & IIS

  Windows 7 X64 , IIS 7, 默认网站

二、创建密钥链

  注意:请先看一下最后的注意事项,避免走弯路。

  1. 创建根证书(自签名证书)

1 echo "create root ca key"
2 openssl genrsa -out root-key.key 1024
3 echo ----------------------
4 echo "create root cert request"
5 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA"
6 echo ----------------------
7 echo "create root self sign cert"
8 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days 3650 -text -extfile openssl.cnf -extensions v3_ca

  2. 创建中级证书(利用RootCA私钥签名)

1 echo "create 2 level cert key"
2 openssl genrsa -des3 -out root-mid.key 1024
3 echo ----------------------
4 echo "create 2 level cert csr"
5 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA"
6 echo ----------------------
7 echo "sign with root-crt"
8 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial  -days 3650 -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca

  3. 创建服务器证书(利用中级证书私钥签名)

  证书申请创建:

1 #在IIS中“创建证书申请”文件,拷贝到Linux系统中(假设名称为Server.csr)
2 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days 3560 -out Server.crt -text -extfile openssl.cnf -extensions v3_ca

  4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中

  5. 导入RootCA.crt导入到“受信任的根证书颁发机构”,MidCA.crt导入到“中级证书颁发机构” --- 都是本地计算机

  6. 执行“完成证书申请步骤”,绑定网站到SSL,并指定证书为Server.crt的友好名称

  7. 访问https://ip即可进行验证。

三、注意事项

  1. 当证书签发超过两级时,在IE中查看证书是会出现如下“因为证书路径中的证书颁发机构似乎没有颁发证书的权限或不能被用作终端实体证书,证书无效”错误,修改openssl默认配置即可。

1 # This is what PKIX recommends but some broken software chokes on critical
2 # extensions.
3 #basicConstraints = critical,CA:true
4 # So we do this instead.
5 #basicConstraints = CA:true
6 # xwliu
7 basicConstraints = CA:true,pathlen:3

四、参考资料

关于数字证书的概念请参考以下链接:

<http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>

关于证书与证书链的高层次理解请参考如下链接:

<http://lukejin.iteye.com/blog/587200>

其他参考资料:

<http://firefly.iteye.com/blog/674208>

<http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>

****************转载请注明出处******************

时间: 2024-10-25 00:02:34

利用OpenSSL创建证书链并应用于IIS7的相关文章

OpenSSH的应用和利用OpenSSL创建私有CA签证给httpd服务器开https

https http over ssl = https 443/tcp                ssl: v3                tls: v1 https:// SSL会话的简化过程                (1) 客户端发送可供选择的加密方式,并向服务器请求证书:                (2) 服务器端发送证书以及选定的加密方式给客户端:                (3) 客户端取得证书并进行证书验正:                    如果信任给其发

OpenSSH的应用和利用OpenSSL创建私有CA签证给httpd服务器开起https

一.OpenSSH OpenSSH与SSH协议是远程登录的首选连接工具.它加密所有流量,以消除窃听,连接劫持和其它攻击.OpenSSH常常被误认以为与OpenSSL有关系,但实际上这两个项目的有不同的目的,不同的发展团队,名称相近只是因为两者有同样的软件发展目标──提供开放源代码的加密通讯软件. OpenSSH的套件包括以下工具: 远程操作使用 SSH, SCP,和 SFTP. 密钥管理 ssh-add, ssh-keysign, ssh-keyscan和ssh-keygen 服务端组成 ssh

简述如何利用openssl创建私有CA

我在这篇博客中讲了加密解密原理和相关算法及其实现:http://starli.blog.51cto.com/8813574/1671408 CA是什么?为什么需要CA? 先看下面的互联网安全通讯模型! 现在互联网上常用的安全通讯模型: 发送方发送数据时执行的步骤如下(分别对应于上图发送方的1.2.3): 1.发送方将需要在互联网上进行安全传输的数据采用单向加密算法提取数据的特征码,然后用自己的私钥加密这段特征码放在数据的尾部: 2.发送方生成一个一次性的对称加密算法的秘钥,然后使用对称加密算法和

在企业内部使用openssl创建私有CA

随着计算机技术的发展,信息网络技术的应用日益深入,这些应用改进了企业工作方式,提高了工作效率.而如何确保在网络中传输的身份认证.机密性.完整性.合法性.不可抵赖性等问题成为企业进一步发展和推动企业信息化应用的关键.要解决这些问题,需要用到CA认证功能.而当企业的应用仅仅在企业内部实现时,我们只需要在企业内部自建CA服务器,完成认证功能,而无需采用第三方机构提供的CA,在总体上节省成本. 使用openssl可以实现企业内部自建CA,首先我们需要安装openssl 软件包,利用openssl创建CA

jsWindow 对象 Window 对象 Window 对象表示浏览器中打开的窗口。 如果文档包含框架(frame 或 iframe 标签),浏览器会为 HTML 文档创建一个 window 对象,并为每个框架创建一个额外的 window 对象。 注释:没有应用于 window 对象的公开标准,不过所有浏览器都支持该对象。 Window 对象集合 集合 描述 frames[] 返回窗口中所有命

一.JSX简介 JSX就是Javascript和XML结合的一种格式.React发明了JSX,利用HTML语法来创建虚拟DOM.当遇到<,JSX就当HTML解析,遇到{就当JavaScript解析. 如下(JS写法) var child1 = React.createElement('li', null, 'First Text Content'); var child2 = React.createElement('li', null, 'Second Text Content'); var

使用OpenSSL创建自己的CA root certificate

在密码学中,CA(Certificate Authority,认证机构)是指一个被多个用户信任的机构,该机构能够创建和指派公钥证书. 为规范起见,我们先介绍本文可能涉及的术语, asymmetric cryptography: 非对称密码学(或公开密钥加密,公钥加密),密钥涉及公钥和私钥组成的密钥对: key pair: 密钥对,非对称密码学中的一对公/私密钥: private key: 私钥,只应该有所有者才知道的那个密钥: public key: 公钥(公开密钥),在非对称加密体系中公开给其

加密、解密的原理及Openssl创建CA和ssh的基础应用

加密.解密的原理及Openssl创建CA和ssh的基础应用 随着互联网的不断发展和技术的不断成熟,在互联网上传输文件不在安全,在需要传送重要的数据时就必须加密处理. 密码算法分为三种:分别是对称加密,公钥加密,单向加密:以及需要对加密算法的认证,叫做认证协议.下面为大家概述对称加密,公钥加密,单向加密及认证协议 对称加密: 采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密. 需要对加密和解密使用相同密钥的加密算法.由于其速度快,对称性

利用openssl实现私有CA以及mysql服务器的ssl连接的配置

利用openssl实现私有CA以及mysql服务器的ssl连接的配置 一.CA简介 CA 也拥有一个证书(内含公钥和私钥).网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书. 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请.在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者. 如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对

Openssl 创建CA和申请证书

Openssl 创建CA和申请证书 =============================================================================== 概述: 本章是上篇加密解密技术的续,主要介绍Openssl创建CA.申请证书.办法证书的整个操作,具体内容如下: 创建私有CA: 给节点颁发证书: 吊销证书  详情查看上篇加密解密技术:http://1992tao.blog.51cto.com/11606804/1856438 ============