使用 OpenSSL 构建数字证书

构建目录

1. 建立 ca 目录
2. 构建子目录

• 构建已发行证书存放目录 certs

mkdir certs

• 构建新证书存放目录 newcerts

mkdir newcerts

• 构建私钥存放目录 private

mkdir private

• 构建证书吊销列表存放目录 crl

mkdir crl

3. 构建相关文件

• 构建索引文件 index.txt

echo 0>index.txt

• 构建序列号文件 serial

echo 01>serial

构建根证书

1. 构建随机数文件

• 构建随机数 private/.rand

openssl 
    rand    #随机数命令
    -out private/.rand    #输出文件路径
    1000    #用来产生伪随机字节数

2. 构建根证书密钥 private/ca.key.pem 2048

openssl 
    genrsa    #产生RSA密钥命令
    -aes256    #使用AES算法(256位密钥)对产生的私钥加密。可选算法包括 DES、DESede、IDEA 和 AES。
    -out private/ca.key.pem    #输出路径
    2048    #RSA 密钥长度位数，默认长度 512 位

3. 生成根证书签发申请文件（ca.csr）

openssl
    req    #产生证书签发申请命令
    -new    #表示新请求
    -key private/ca.key.pem    #密钥，这里为 private/ca.key.pem 文件
    -out private/ca.csr    #输出路径
    -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=*.zlex.org"    #指定用户信息，这里使用泛域名 “*.zlex.org”作为用户名

4. 得到根证书签发申请文件后，我们可以将其发送给 CA 机构签发。也可以自行签发根证书。

• 签发根证书 private/ca.cer

openssl
    x509    #签发 X.509 格式证书命令
    -req    #证书输入请求
    -days 10000    #有效天数
    -sha1   #证书摘要算法
    -extensions v3_ca   #按 Open SSL 配置文件 v3_ca 项添加扩展
    -signkey private/ca.key.pem    #自签名密钥，这里为 private/ca.key.pem
    -in private/ca.csr  #输入文件
    -out certs/ca.cer   #输出文件

5. OpenSSL 产生的数字证书不能在Java语言环境中直接使用，需要将其转化为 PKCS#12 编码格式

• 根证书转换 private/ca.p12

openssl
    pkcs12    #PKCS#12 编码格式证书命令
    -export     #导出证书
    -cacerts    #仅导出 CA 证书
    -inkey private/ca.key.pem   #输入密钥
    -in certs/ca.cer    #输入文件
    -out certs/ca.p12   #输出文件

个人信息交换文件（PKCS#12）可以作为密钥库或信任库使用，我们可以通过KeyTool查看该密钥库的详细信息

keytool -list -keystore certs/ca.p12 -storetype pkcs12 -v -storepass 123456

现在，已经构建了根证书（ca.cer），可以使用根证书签发服务器证书和客户证书

构建服务器证书

1. 构建服务器私钥 private/server.key.pem

openssl
    genrsa    #产生 RSA 密钥命令
    -aes256    #使用 AES 算法（256 位密钥）对产生的私钥加密
    -out private/server.key.pem    #输出路径
    2048    # RSA 密钥长度位数，默认 512 位

2. 生成服务器证书签发申请 private/server.csr

openssl 
    req 
    -new 
    -key private/server.key.pem 
    -out private/server.csr 
    -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=www.zlex.org"

3. 我们已经获得了根证书，可以使用根证书签发服务器证书

• 签发服务器证书 private/server.cer

openssl 
    x509    #签发 X.509 格式证书命令
    -req    #证书输入请求
    -days 3650    #有效天数
    -sha1   #证书摘要算法
    -extensions v3_req  #按 OpenSSL 配置文件 v3_req 项添加扩展
    -CA certs/ca.cer    # CA 证书
    -CAkey private/ca.key.pem   # CA 证书密钥
    -CAserial ca.sr1    # CA 证书序列号文件
    -CAcreateserial     #创建 CA 证书序列号
    -in private/server.csr  #输入文件
    -out certs/server.cer   #输出文件

4. 将 OpenSSL 产生的数字证书转化为 PLCS#12 编码格式

• 服务器证书转换 private/server.p12

openssl
    pkcs12      # PKCS#12 编码格式证书命令
    -export     #导出证书
    -clcerts    #仅导出客户证书
    -inkey private/server.key.pem
    -in certs/server.cer
    -out certs/server.p12

现在，已经构建了服务器证书（server.cer），并可使用该证书构建基于单向认证的网络交互平台

构建客户证书

1. 产生客户私钥 private/client.key.pem

openssl
    genrsa 
    -aes256
    -out private/client.key.pem
    2048

2. 生成客户证书签发申请 client.csr

openssl
    req     #产生证书签发的申请命令
    -new    #新请求
    -key private/client.key.pem     #密钥
    -out private/client.csr     #输出路径
    -subj "/C=CN/ST=BJ/L=BJ/O=zlex/OU=zlex/CN=zlex"    #指定用户信息，这里使用 “zlex” 作为用户名

3. 已经获得了根证书，可以使用根证书签发客户证书（client.cer）

• 签发客户证书 certs/client.cer

openssl 
    ca    #签发证书命令
    -days 3650    #证书有效期，设为 3650 天
    -in private/client.csr    #输入文件
    -out certs/client.cer    #输出文件
    -cert certs/ca.cer    #证书文件
    -keyfile private/ca.key.pem    #根证书密钥文件

4. 将客户证书转化为 Java 语言可以识别的 PKCS#12 编码格式

• 客户证书转换 certs/client.p12

openssl
    pkcs12
    -export
    -inkey private/client.key.pem
    -in certs/client.cer
    -out certs/client.p12

至此，完成了双向认证所需的全部证书。