您的位置:360文档中心› SSL双向认证证书制作过程流程

SSL双向认证证书制作过程流程

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

SSL双向认证证书制作流程

——含单向SSL

一、证书制作:

1、生成服务器密钥(库):

keytool -genkey -alias server -keyalg RSA -keysize 2048 -validity 3650 -dname

"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"

-keypass 123456 -keystore server.jks -storepass 123456

CN:要签名的[域名]或[IP](说明:此处为要配置SSL服务器IP 或域名)

OU:组织单位名称,如:[公司注册简称]

O:组织名称,如:[公司英文全称]

L:城市或地区名称,如:[Beijing]

ST:州或省份名称,如:[Beijing]

C:单位的两字母国家代码,如:[CN]

2、验证生成的服务器密钥(库):

keytool -list -v -keystore server.jks -storepass 123456

3、为步骤1生成的服务器密钥(库)创建自签名的证书:

keytool -selfcert -alias server -keystore server.jks -storepass 123456

4、验证生成的服务器密钥(库):

keytool -list -v -keystore server.jks -storepass 123456

5、导出自签名证书:

keytool -export -alias server -keystore server.jks -file server.cer -storepass 123456

说明:此证书为后续要导入到浏览器中的受信任的根证书颁发机构。

6、生成客户端密钥(库):

说明:keytool –genkey命令默认生成的是keystore文件,但为了能顺利导入到IE或其他浏览器中,文件格式应为PKCS12。

稍后,此P12文件将导入到IE或其他浏览器中。

keytool -genkey -alias client -keyalg RSA -keysize 2048 -validity 3650 -dname

"CN=localhost,OU=DTY,O=BMC,L=Beijing,ST=Beijing,C=CN"

-storetype PKCS12 -keypass 123456 -keystore client.p12 -storepass 123456

CN:要签名的[域名]或[IP](特别说明:这里是客户端机构的域名或IP)

OU:组织单位名称,如:[公司注册简称]

O:组织名称,如:[公司英文全称]

L:城市或地区名称,如:[Beijing]

ST:州或省份名称,如:[Beijing]

C:单位的两字母国家代码,如:[CN]

7、提取客户端密钥的公钥:

只有客户端密钥库文件还不行,还需要一个证书文件。毕竟证书文件才是直接提供给外界的公钥凭证,因此需要将客户端密钥库文件中的公钥导入到某个证书文件中。

keytool -export -alias client -keystore client.p12

-storetype PKCS12 -rfc -file client.cer -storepass 123456

8、将客户端密钥库的公钥导入到服务端密钥库中:

keytool -import -v -file client.cer -keystore server.jks

-storepass 123456

9、验证生成的服务器密钥(库):

keytool -list -v -keystore server.jks -storepass 123456

说明:验证步骤8的公钥是否导出成功。

二、证书导入:

1、导入客户端密钥(库):

a)对于IE浏览器,选择Internet选项,则显示如下:

b)点击证书按钮,显示如下:

c)点击导入,显示如下:

d)点击下一步,显示如下:

注意:选择文件时,必须确认文件格式为:

e)点击下一步,并在密码处键入,创建[客户端密钥(库)]时所

键入的密码,这里是123456:

f)选择下一步,显示如下:

选择[将所有的证书放入下列存储(P)]为:个人,然后点击下一步,显示如下:

g)单击完成,显示如下:

单击确定,自此[客户端密钥(库)]导入浏览器的操作完成。

2、导入服务器密钥(库)受信任的根证书:

a)对于IE浏览器,选择Internet选项,则显示如下:

b)点击证书按钮,显示如下:

c)点击导入,显示如下:

d)点击下一步,显示如下:

e)选择要导入的文件,这里我们选择步骤5导出的server.cer

证书,单击下一步显示如下:

f)选择奖所有的证书放入下列存储:收信人的根证书颁发机构,

点击下一步,显示如下:

g)单击完成,显示如下:

h)由于我们是一个自签名证书,所以windows会给出上面的安全

提示,选择“是”,显示如下:

单击确定,自此[服务器密钥(库)受信任的根证书]导入浏览

器的操作完成。

三、服务器配置SSL:

说明,服务器配置SSL因应用服务器不同,其配置方法也不一样,这里仅以tomcat6为例:

1、配置双向SSL:

a)将服务器密钥(库)文件放置在[%TOMCATE_HOME%/onf]下:

b)修改配置文件[%TOMCATE_HOME%/onf/server.xml]具体配置如

下:

相关文档
最新文档