1. openssl怎樣創建個人證書
一:生成CA證書
目前不使用第三方權威機構的CA來認證,自己充當CA的角色。
網上下載一個openssl軟體
1. 創建私鑰 :
C:/OpenSSL/bin>openssl genrsa -out ca/ca-key.pem 1024
2.創建證書請求 :
C:/OpenSSL/bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:root
Email Address []:sky
3.自簽署證書 :
C:/OpenSSL/bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
4.將證書導出成瀏覽器支持的.p12格式 : (不需要可以省略)
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
密碼:changeit
二.生成server證書。
1.創建私鑰 :
C:/OpenSSL/bin>openssl genrsa -out server/server-key.pem 1024
2.創建證書請求 :
C:/OpenSSL/bin>openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:192.168.1.246 注釋:一定要寫伺服器所在的ip地址
Email Address []:sky
3.自簽署證書 :
C:/OpenSSL/bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 :
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
密碼:changeit
三.生成client證書。
1.創建私鑰 :
C:/OpenSSL/bin>openssl genrsa -out client/client-key.pem 1024
2009-7-17 22:32 回復
yakeqin
1位粉絲
2樓
2.創建證書請求 :
C:/OpenSSL/bin>openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:sky
Email Address []:sky 注釋:就是登入中心的用戶(本來用戶名應該是Common Name,但是中山公安的不知道為什麼使用的Email Address,其他版本沒有測試)
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:tsing
3.自簽署證書 :
C:/OpenSSL/bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4.將證書導出成瀏覽器支持的.p12格式 :
C:/OpenSSL/bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
密碼:changeit
四.根據ca證書生成jks文件
C:/Java/jdk1.5.0_09/bin > keytool -keystore C:/openssl/bin/jks/truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:/openssl/bin/ca/ca-cert.pem
五.配置tomcat ssl
修改conf/server.xml。tomcat6中多了SSLEnabled="true"屬性。keystorefile, truststorefile設置為你正確的相關路徑
xml 代碼
tomcat 5.5的配置:
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />
tomcat6.0的配置:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>
六.導入證書
將ca.p12,client.p12分別導入到IE中去(打開IE->;Internet選項->內容->證書)。
ca.p12導入至受信任的根證書頒發機構,client.p12導入至個人
七.驗證ssl配置是否正確訪問你的應用http://ip:8443/,如果配置正確的話會出現請求你數字證書的對話框。
2. 如何創建一個自簽名的SSL證書
自簽名證書只適合內部使用或測試需要,網站使用自簽名SSL證書存在極大的風險:
一:自簽SSL證書最容易被假冒和偽造,被欺詐網站利用
自簽SSL證書是可以隨意簽發的,不受任何監管,您可以自己簽發,別人也可以自己簽發。如果您的網站使用自簽SSL證書,那黑客也可以偽造一張一模一樣的自簽證書,用在釣魚網站上,偽造出有一樣證書的假冒網銀網站!
二:部署自簽SSL證書的網站,瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的,用戶訪問部署了自簽SSL證書的網站時,瀏覽器會持續彈出安全警告,極大影響用戶體驗。
三:自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站,遇到瀏覽器警告提示時,網站通常會告知用戶點擊「繼續瀏覽」,用戶逐漸養成了忽略瀏覽器警告提示的習慣,這就給了中間人攻擊可乘之機,使網站更容易受到中間人攻擊。
典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網,中間人可以截獲用戶的數據包,包括SSL數據包,並做一個假的伺服器SSL證書與用戶通信,從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時,瀏覽器會警告用戶此證書不受信任,需要用戶確認是否信任此證書,用戶習慣性點擊「繼續瀏覽」,中間人攻擊輕而易舉的實現了。
四:自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題,做一個SSL證書並不難,使用OpenSSL幾分鍾就搞定,但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作,其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等,證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態,一旦證書丟失或被盜而無法吊銷,就極有可能被用於非法用途而讓用戶蒙受損失。此外,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的安全警告,大大延長瀏覽器的處理時間,影響網頁的流量速度。
3. 請教下,網站可以部署https自簽名證書嗎
可以部署,但是不會被瀏覽器信任,信任CA SSL證書需要Gworg 簽發機構發了才有,淘寶也可以獲取。
4. 如何構建自簽名的EV SSL證書
自簽名無法實現EV證書,EV證書必須由瀏覽器指定的CA機構頒發。
5. openssl證書生成工具如何生成證書鏈
2. 生成Root CA私鑰與證書: .1 先生成RootCA私鑰--》使用私鑰生成CSR--》生成自簽名根證書。用來給二級CA證書簽名。 3. 生成二級CA 私鑰與證書:(假如有兩個二級CA, 分別負責管理伺服器端和客戶端證書) 3.1 先生成ServerCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給伺服器證書簽名。 3.2 先生成ClientCA私鑰--》使用私鑰生成CSR--》使用根證書簽名生成二級證書。用來給客戶端證書簽名。 4. 生成伺服器端與客戶端的私鑰與證書: 4.1 先生成ServerA私鑰--》使用私鑰生成CSR--》使用ServerCA證書簽名生成三級證書。 4.2 先生成ClientA私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書。 4.3 先生成ClientB私鑰--》使用私鑰生成CSR--》使用ClientCA證書簽名生成三級證書 。。。。可以生成N個客戶端證書證書結構:RootCA||-------ServerCA| || |--------ServerA||-------ClientCA||--------ClientA||--------ClientB||--------...| 5. 導出RootCA的根證書、伺服器端和客戶端的私鑰和證書。 導出時都使用pem格式。 RootCA.pem-------根證書(PEM ) ServerA.pem------伺服器端證書(PEM with Certificate chain) ClientA.pem------客戶端證書(PEM with Certificate chain) ClientB.pem------客戶端證書(PEM with Certificate chain) ServerAKey.pem------伺服器端私鑰(PEM ) ClientAKey.pem------客戶端私鑰(PEM ) ClientBKey.pem------客戶端私鑰(PEM ) 6.下面是最重要的一步:生成需要使用的JKS文件。keytool工具不能導入私鑰,需要利用到weblogic 提供的一個工具,需要把weblogic.jar加到CLASSPATH。 6.1 生成伺服器和客戶端的信任證書庫: keytool -import -alias rootca -file RootCA.pem -keystore trust.jks 6.2 生成伺服器端身份密鑰庫: java utils.ImportPrivateKey -keystore servera.jks -storepass 123456 -storetype JKS -keypass 123456 -alias servera -certfile ServerA.pem -keyfile ServerAKey.pem 6.3 生成客戶端身份密鑰庫: java utils.ImportPrivateKey -keystore clienta.jks -storepass 123456 -storetype JKS -keypass 123456 -alias clienta -certfile ClientA.pem -keyfile ClientAKey.pem ...生成其他客戶端身份密鑰庫 7. keytool -list -v -keystore clienta.jks (servera.jks) 可以查看其中的證書鏈關系。
6. https自簽名證書怎麼弄網站部署https自簽名證書
https自簽名證書即自簽名SSL證書,只適合內部使用或測試需要,網站使用自簽名SSL證書存在極大的風險:
一:自簽SSL證書最容易被假冒和偽造,被欺詐網站利用
自簽SSL證書是可以隨意簽發的,不受任何監管,您可以自己簽發,別人也可以自己簽發。如果您的網站使用自簽SSL證書,那黑客也可以偽造一張一模一樣的自簽證書,用在釣魚網站上,偽造出有一樣證書的假冒網銀網站!
二:部署自簽SSL證書的網站,瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的,用戶訪問部署了自簽SSL證書的網站時,瀏覽器會持續彈出安全警告,極大影響用戶體驗。
三:自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站,遇到瀏覽器警告提示時,網站通常會告知用戶點擊「繼續瀏覽」,用戶逐漸養成了忽略瀏覽器警告提示的習慣,這就給了中間人攻擊可乘之機,使網站更容易受到中間人攻擊。
典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網,中間人可以截獲用戶的數據包,包括SSL數據包,並做一個假的伺服器SSL證書與用戶通信,從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時,瀏覽器會警告用戶此證書不受信任,需要用戶確認是否信任此證書,用戶習慣性點擊「繼續瀏覽」,中間人攻擊輕而易舉的實現了。
四:自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題,做一個SSL證書並不難,使用OpenSSL幾分鍾就搞定,但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作,其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等,證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態,一旦證書丟失或被盜而無法吊銷,就極有可能被用於非法用途而讓用戶蒙受損失。此外,瀏覽器還會發出「吊銷列表不可用,是否繼續?」的安全警告,大大延長瀏覽器的處理時間,影響網頁的流量速度。
7. 自簽名證書HTTPS
自簽名證書不合法,不會被瀏覽器信任。只有瀏覽器信任的CA機構簽發證書才會信任。專
申請可信的HTTPS(SSL證書屬):
首先擁有域名,並且該域名可以正常解析使用。
進入淘寶裡面找到:Gworg
選擇SSL證書確定後,根據要求完成域名認證。(DNS解析認證)
獲得可信SSL證書配置到伺服器就可以實現HTTPS。
解決辦法:Gworg獲得合法的SSL證書。
8. linux怎麼用openssl生成自簽名證書
這個證書中的簽名與這個私鑰是對應關系,證書中的公鑰和私鑰也是匹配的,可以通過證書中的公鑰對證書進行驗簽
9. openssl 自簽名證書怎麽配置到windows server 2008 r2 tomcat伺服器上
用php的openssl_x509_parse函數解析用戶證書user.cer和根證書server.cer ,在比較用戶證書與根證書的頒發機構等信息,如果是相同的則說明用戶證書是根證書頒發,即為合法證書,反之則不合法
10. 如何創建一個自簽名的ssl證書
一、自簽名SSL證書瀏覽器不信任、沒有加密套件(這種情況下還不如HTTP來的安全)任何人都可以創建1個與您相同的證書,沒有機構管制。
二、確定好需要的域名,並且登陸CA機構辦理合法SSL證書:網頁鏈接