SSL證照生成，完成HTTPS驗證

是HTTP升級到HTTPS安全連線的直達路徑，SSL證照可透過向數字證照頒發機構（CA）申請。然而，SSL證照的製作也不是一氣呵成，它也需要一定的程式，但是也並不複雜。只要申請資料稽核透過，製作SSL證照也比較快捷迅速。下面一起了解如何生成SSL證照。

　　SSL證照 的型別 包括：

1，CA證照，也叫根證照或者中間級證照。如果是單向https認證的話，該證照是可選的。不安裝CA證照的話，瀏覽器預設是不安全的。

2，伺服器證照，必選項。透過key，證照請求檔案csr，再透過CA證照籤名，生成伺服器證照。

3，客戶端證照，可選項。若有客戶端證照則是雙向https驗證。

以上所有證照都可以自己生成。

檔案字尾

linux系統是不以字尾名來判斷檔案型別的，但是為了我們能夠更好地判斷檔案用途，所以新增各種字尾。以下是約定成俗的字尾。

*.key：金鑰檔案，一般是SSL中的私鑰；

*.csr：證照請求檔案，裡面包含公鑰和其他資訊，透過簽名後就可以生成證照；

*.crt, *.cert：證照檔案，包含公鑰，簽名和其他需要認證的資訊，比如主機名稱（IP）等。

*.pem：裡面一般包含私鑰和證照的資訊。

伺服器證照的生成

a）生成伺服器私鑰

openssl genrsa -des3 -out server.key 1024

輸入加密密碼，用 128 位 rsa 演算法生成金鑰，得到 server.key 檔案。

b）生成伺服器證照請求（ CSR ）

openssl req -new -key server.key -out server.csr

CSR（ Certificate Signing Request）是一個證照籤名請求，在申請證照之前，首先要在伺服器上生成 CSR ，並將其提交給 CA 認證中心， CA 才能簽發 SSL 伺服器證照。也可以認為， CSR 就是一個在伺服器上生成的證照。

在生成這個檔案的過程中，有一點需要特別注意，Common Name 填入主機名（或者伺服器IP）。

c）自己生成伺服器證照

如果不使用 CA 證照籤名的話，用如下方式生成：

openssl req -x509 -days 1024 -key server.key -in server.csr > server.crt

用伺服器金鑰和證照請求生成證照 server.crt ， -days 引數指明證照有效期，單位為天。商業上來說，伺服器證照是由透過第三方機構頒發的，該證照由第三方認證機構頒發的。

如果使用 CA 證照籤名，用 openssl 提供的工具 CA.sh 生成伺服器證照：

mv server.csr newreq.pem

./CA.sh -sign

mv newcert.pem server.crt

簽名證照後，可透過如下命令可檢視伺服器證照的內容：

openssl x509 -noout -text -in server.crt

可透過如下命令驗證伺服器證照：

openssl verify -CAfile ca.crt server.crt

客戶證照的生成

客戶證照是可選的。如果有客戶證照，就是雙向認證 HTTPS ，否則就是單向認證 HTTPS 。

a）生成客戶私鑰

openssl genrsa -des3 -out client.key 1024

b）生成客戶證照籤名請求

openssl req -new -key client.key -out client.csr

c）生成客戶證照（使用 CA 證照籤名）

openssl ca -in client.csr -out client.crt

d）證照轉換成瀏覽器認識的格式

openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.pfx

　　證照列表

如果使用雙向認證，就會有三個私鑰和三個證照。分別是 ca.key, ca.crt, server.key, server.crt, client.key, client.crt ，以及給瀏覽器的 client.pfx 。

如果使用有 CA 證照的單向認證，證照和私鑰就是 ca.key, ca.crt, server.key, server.crt 。

如果使用無 CA 證照的單向認證，證照和私鑰就是 server.key, server.crt 。

最後在fedora作為客戶端，wget 1.14透過命令

wget –ca-certificate=server.crt 成功獲取檔案，證照驗證透過。

全球可信CA機構

SSL證書生成，完成HTTPS驗證

相關文章