SSL證書(shū)生成，完成HTTPS驗(yàn)證

成都創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),景縣企業(yè)網(wǎng)站建設(shè),景縣品牌網(wǎng)站建設(shè),網(wǎng)站定制,景縣網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營(yíng)銷(xiāo),網(wǎng)絡(luò)優(yōu)化,景縣網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競(jìng)爭(zhēng)力。可充分滿(mǎn)足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專(zhuān)業(yè)、時(shí)尚、前沿，時(shí)刻以成就客戶(hù)成長(zhǎng)自我，堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

SSL證書(shū)是HTTP升級(jí)到HTTPS安全連接的直達(dá)路徑，SSL證書(shū)可通過(guò)向數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)（CA）申請(qǐng)。然而，SSL證書(shū)的制作也不是一氣呵成，它也需要一定的程序，但是也并不復(fù)雜。只要申請(qǐng)資料審核通過(guò)，制作SSL證書(shū)也比較快捷迅速。下面一起了解如何生成SSL證書(shū)。

SSL證書(shū) 的類(lèi)型 包括：

1，CA證書(shū)，也叫根證書(shū)或者中間級(jí)證書(shū)。如果是單向https認(rèn)證的話(huà)，該證書(shū)是可選的。不安裝CA證書(shū)的話(huà)，瀏覽器默認(rèn)是不安全的。

2，服務(wù)器證書(shū)，必選項(xiàng)。通過(guò)key，證書(shū)請(qǐng)求文件csr，再通過(guò)CA證書(shū)簽名，生成服務(wù)器證書(shū)。

3，客戶(hù)端證書(shū)，可選項(xiàng)。若有客戶(hù)端證書(shū)則是雙向https驗(yàn)證。

以上所有證書(shū)都可以自己生成。

文件后綴

linux系統(tǒng)是不以后綴名來(lái)判斷文件類(lèi)型的，但是為了我們能夠更好地判斷文件用途，所以添加各種后綴。以下是約定成俗的后綴。

*.key：密鑰文件，一般是SSL中的私鑰；

*.csr：證書(shū)請(qǐng)求文件，里面包含公鑰和其他信息，通過(guò)簽名后就可以生成證書(shū)；

*.crt, *.cert：證書(shū)文件，包含公鑰，簽名和其他需要認(rèn)證的信息，比如主機(jī)名稱(chēng)（IP）等。

*.pem：里面一般包含私鑰和證書(shū)的信息。

服務(wù)器證書(shū)的生成

a）  生成服務(wù)器私鑰

openssl genrsa -des3 -out server.key 1024

輸入加密密碼，用 128 位 rsa 算法生成密鑰，得到 server.key 文件。

b）  生成服務(wù)器證書(shū)請(qǐng)求（ CSR ）

openssl req -new -key server.key -out server.csr

CSR（ Certificate Signing Request）是一個(gè)證書(shū)簽名請(qǐng)求，在申請(qǐng)證書(shū)之前，首先要在服務(wù)器上生成 CSR ，并將其提交給 CA 認(rèn)證中心， CA 才能簽發(fā) SSL 服務(wù)器證書(shū)。也可以認(rèn)為， CSR 就是一個(gè)在服務(wù)器上生成的證書(shū)。

在生成這個(gè)文件的過(guò)程中，有一點(diǎn)需要特別注意，Common Name 填入主機(jī)名（或者服務(wù)器IP）。

c）  自己生成服務(wù)器證書(shū)

如果不使用 CA 證書(shū)簽名的話(huà)，用如下方式生成：

openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt

用服務(wù)器密鑰和證書(shū)請(qǐng)求生成證書(shū) server.crt ， -days 參數(shù)指明證書(shū)有效期，單位為天。商業(yè)上來(lái)說(shuō)，服務(wù)器證書(shū)是由通過(guò)第三方機(jī)構(gòu)頒發(fā)的，該證書(shū)由第三方認(rèn)證機(jī)構(gòu)頒發(fā)的。

如果使用 CA 證書(shū)簽名，用 openssl 提供的工具 CA.sh 生成服務(wù)器證書(shū)：

mv server.csr newreq.pem

./CA.sh -sign

mv newcert.pem server.crt

簽名證書(shū)后，可通過(guò)如下命令可查看服務(wù)器證書(shū)的內(nèi)容：

openssl x509 -noout -text -in server.crt

可通過(guò)如下命令驗(yàn)證服務(wù)器證書(shū)：

openssl verify -CAfile ca.crt server.crt

客戶(hù)證書(shū)的生成

客戶(hù)證書(shū)是可選的。如果有客戶(hù)證書(shū)，就是雙向認(rèn)證 HTTPS ，否則就是單向認(rèn)證 HTTPS 。

a）  生成客戶(hù)私鑰

openssl genrsa -des3 -out client.key 1024

b）  生成客戶(hù)證書(shū)簽名請(qǐng)求

openssl req -new -key client.key -out client.csr

c）  生成客戶(hù)證書(shū)（使用 CA 證書(shū)簽名）

openssl ca -in client.csr -out client.crt

d）  證書(shū)轉(zhuǎn)換成瀏覽器認(rèn)識(shí)的格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

證書(shū)列表

如果使用雙向認(rèn)證，就會(huì)有三個(gè)私鑰和三個(gè)證書(shū)。分別是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ，以及給瀏覽器的 client.pfx 。

如果使用有 CA 證書(shū)的單向認(rèn)證，證書(shū)和私鑰就是 ca.key, ca.crt, server.key, server.crt 。

如果使用無(wú) CA 證書(shū)的單向認(rèn)證，證書(shū)和私鑰就是 server.key, server.crt 。

最后在fedora作為客戶(hù)端，wget 1.14通過(guò)命令

wget –ca-certificate=server.crt https://+ip+file 成功獲取文件，證書(shū)驗(yàn)證通過(guò)。

 

全球可信CA機(jī)構(gòu)

網(wǎng)站題目：SSL證書(shū)生成，完成HTTPS驗(yàn)證-創(chuàng)新互聯(lián)
文章出自：http://www.rwnh.cn/article28/dcpgjp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、靜態(tài)網(wǎng)站、搜索引擎優(yōu)化、微信公眾號(hào)、定制開(kāi)發(fā)、網(wǎng)站維護(hù)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)