DOC《SSL(SecureSocketLayer)是netscape公司提出的主要用于...》

1024 该指令中genras表示生成RSA私有密钥文件. -des3表示用DES3加密该文件. -out ca.key表示生成文件ca.key. 1024是我们的RSA key的长度. 生成server.key的时候会要你输入一个密码,这个密钥用来保护你的ca.key文件,这样即使人家偷走你的ca.key文件,也打不开,拿不到你的私有密钥. 运行该指令后系统提示输入 PEM pass phrase,也就是ca.key文件的加密密码,这里设为12345678. ⑵ 用下列命令查看它的内容: # OpenSSL rsa -noout -text -in ca.key 该指令中rsa表示对RSA私有密钥的处理. -noout表示不打印出key的编码版本信息. -text表示打印出私有密钥的各个组成部分. -in ca.key 表示对ca.key文件的处理 对RSA算法进行分析可以知道,RSA的私有密钥其实就是三个数字,其中两个是质数prime numbers.产生RSA私有密钥的关键就是产生这两个质数.还有一些其他的参数,引导着整个私有密钥产生的过程. ⑶ 利用 CA 的RSA 密钥创建一个自签署的 CA 证书 # OpenSSL req -new -x509 -days

365 -key ca.key -out ca.crt 该指令中req用来创建和处理CA证书,它还能够建立自签名证书,做Root CA. -new 产生一个新的CSR, 它会要输入创建证书请求CSR的一些必须的信息. -x509 将产生自签名的证书,一般用来做测试用,或者自己做个Root CA用. -days

365 指定我们自己的CA给人家签证书的有效期为365天. -key ca.key指明我们的私有密钥文件名为ca.key. -out ca.crt指出输出的文件名为ca.crt. 执行该指令时系统要求用户输入一些用户的信息,如下所示:(框内为输入的内容) Using configuration from /etc/ssl/OpenSSL.cnf Enter PEM pass phrase:12345678 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '

.'

, the field will be left blank. ----- Country Name (2 letter code) [AU]:CN (两个字母的国家代号) State or Province Name (full name) [Some-State]:JIANG SU (省份名称) Locality Name (eg, city) []:ZHANGJIAGANG (城市名称) Organization Name (eg, company) [Internet Widgits Pty Ltd]:FAMILY NETWORK (公司名称) Organizational Unit Name (eg, section) []:HOME (部门名称) Common Name (eg, YOUR name) []:TJL (你的姓名) Email Address []:TJL@WX88.NET (Email地址) ⑷ 用下列命令查看生成证书的内容: # OpenSSL x509 -noout -text -in ca.crt 该指令中x509表示证书处理工具. -noout表示不打印出key的编码版本信息. -text 表示以文本方式显示内容. -in ca.crt 表示对ca.crt文件进行处理 系统显示证书内容为: Certificate: Data: Version:

3 (0x2) Serial Number:

0 (0x0) Signature Algorithm: md5WithRSAEncryption Issuer: C=CN, ST=JIANG SU, L=ZHANGJIAGANG, O=FAMILY NETWORK, OU=HOME, CN=TJL/Email=TJL@WX88.NE Validity Not Before: Feb

24 14:49:27

2003 GMT Not After : Feb

21 14:49:27

2013 GMT Subject: C=CN, ST=JIANG SU, L=ZHANGJIAGANG, O=FAMILY NETWORK, OU=HOME, CN=TJL/Email=TJL@WX88.NET Subject Public Key Info: Public Key Algorithm: rsaEncryption RSA Public Key: (1024 bit) Modulus (1024 bit): 00:da:20:09:11:19:1f:12:f0:98:0c:fc:91:ac:3e: …… 22:e1:ca:04:0f:dc:e9:bd:9f Exponent:

65537 (0x10001) X509v3 extensions: X509v3 Subject Key Identifier: 03:B0:14:8C:5D:C6:F8:F4:B0:96:A0:CC:7C:8F:9B:00:BB:78:E6:A6 X509v3 Authority Key Identifier: keyid:03:B0:14:8C:5D:C6:F8:F4:B0:96:A0:CC:7C:8F:9B:00:BB:78:E6:A6 DirName:/C=CN/ST=JIANG SU/L=ZHANGJIAGANG/O=FAMILY NETWORK/OU=HOME/CN=TJL/Email=TJL@WX88.NET serial:00 X509v3 Basic Constraints: CA:TRUE Signature Algorithm: md5WithRSAEncryption 8d:e8:46:82:40:b4:18:a2:12:9f:7a:66:e5:fc:0c:3f:77:5a: …… 04:13 从上面的输出内容可以看出这个证书基本包含了X.509数字证书的内容,从发行者Issuer和接受者Subject的信息也可以看出是个自签署的证书. 下面创建服务器证书签署请求(使用指令和系统显示信息基本和以上类似): ⑸ 首先为Apache 创建一个 RSA 私用密........