前段时间写了点东西,可是一直不能找到客户端证书,现在又没有时间了,先贴出来,大家一起想想办法,就算为网站做贡献 :)
1. 生成自签名根证书
openssl req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -days 3650 –config e:\openssl-0.9.6h\apps\openssl.cnf
输入下列信息:
PEM pass phrase:也就是密码,输入后牢记。
然后需要输入下列信息:
Country Name: CN //两个字母的国家代号
State or Province Name: guang dong //省份名称
Locality Name: guang zhou //城市名称
Organization Name: sunrising //公司名称
Organizational Unit Name: home //部门名称
Common Name: besunny //你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)
Email Address: be-sunny@163.com Email地址
把cakey.pem 拷贝到out32dll\demoCA\private, 把cacert.pem拷贝到out32dll\demoCA
注: 我用的是openssl提供的openssl.cnf,openssl.exe所在目录为out32dll
2.用IIS WEB SERVER产生一个证书申请certreq.txt
打开IIS WEB SERVER——〉站点属性——〉目录安全性——〉服务器证书——〉创建一个新证书——〉现在准备请求,但稍候发送——〉
命名和安全设置:名称:server,位长:1024
组织信息:组织:sunrising,组织部门:home
站点的公用名称:网站名称(或者服务器端的ip)
地理信息:国家:CN,省市:guang dong,市:guang zhou(注意一定要与先前的根证书相同,否则签名的时候会出错误)
生成certreq.txt。
把certreq.txt拷贝到out32dll所在目录
3. 用自己的CA对证书申请签名。
openssl ca -in certreq.txt -out server.pem –config e:\openssl-0.9.6h\apps\openssl.cnf
把pem格式证书转化为x509格式
openssl x509 -in server.pem -out server.cer
4.导入服务器证书
打开IIS WEB SERVER——〉站点属性——〉目录安全性——〉服务器证书——〉处理挂起并安装证书——〉选择生成的server.cer
5.生成客户端证书
openssl req -newkey rsa:1024 -keyout clikey.pem -out clireq.pem -days 365 –config e:\openssl-0.9.6h\apps\openssl.cnf
输入下列信息:
PEM pass phrase:也就是密码,输入后牢记。
然后需要输入下列信息:
Country Name: CN //两个字母的国家代号
State or Province Name: guang dong //省份名称
Locality Name: guang zhou //城市名称
Organization Name: sunrising //公司名称
Organizational Unit Name: home //部门名称
Common Name: client //你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)
Email Address: be-sunny@openssl.cn Email//地址
a chanllenge password:123456//证书保护密码
an optional company name:sunrising//
签名:
openssl ca -in clireq.pem -out client.crt –config e:\openssl-0.9.6h\apps\openssl.cnf
生成pkcs12格式的证书
openssl pkcs12 -export -clcerts -in client.crt -inkey clikey.pem -out client.p12
安装信任的根证书
把cacert.pem改名为cacert。cer,在client端的IE中使用"工具 ' Internet
选项 ' 内容 ' 证书 ' 导入"把
我们生成的CA根证书导入,使其成为用户信任的CA。
安装个人证书
把client.p12导入到client端的IE中作为个人证书
全过程结束。
|
