OpenSSL for Win32
2010/05/24(月) 18:22
署名CA**を生成する
CAワークディレクトリを築く
mkdir ca
CAキーを生成する
openssl genrsa -out ca\ca-key.pem 1024
待ち署名を生成する**
openssl req -new -out ca\ca-req.csr -key ca\ca-key.pem
CAキーの自署名を生成する
openssl x509 -req -in ca\ca-req.csr -out ca\ca-cert.pem-signkey ca\ca-key.pem -days 365
ca\ca-cert.pemがCAのノート**,クライアントサイドへ送信し,ノードとして導入する**。
リクエストによってCA**を生成する
**申請者がリエクスしたファイルcertreq.txtを生成する。CAポートが署名を実行する,**ファイル1.cerを生成する
openssl x509 -req -in c:\certreq.txt -out c:\1.cer -CA ca\ca-cert.pem -CAkey ca\ca-key.pem -days 365 -CAcreateserial
Tomcat6配置SSL双方向認証を使って(opensslを使って**を生成する)
一:CA**を生成する
今はサードパーティの権威的なCAで認証されない,自分がCAを演じするのだ。
opensslソフトをダウンロードする
1. キーを作る:
C:\OpenSSL\bin>openssl genrsa -out ca/ca-key.pem 1024
2.**リクエストを生成する:
C:\OpenSSL\bin>openssl req -new -out ca/ca-req.csr -key ca/ca-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:root
Email Address []:sky
3.自署名** :
C:\OpenSSL\bin>openssl x509 -req -in ca/ca-req.csr -out ca/ca-cert.pem -signkey ca/ca-key.pem -days 3650
4.**がブラウザがサポートするの.p12フォーマットにする:
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -out ca/ca.p12
パスワードル:changeit
二.server**を生成する。
1.キーを生成する:
C:\OpenSSL\bin>openssl genrsa -out server/server-key.pem 1024
2.**リクエストを生成する:
C:\OpenSSL\bin>openssl req -new -out server/server-req.csr -key server/server-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:192.168.1.246 注釈:サーバーのipを書けなければなりません
Email Address []:sky
3.自署名** :
C:\OpenSSL\bin>openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkey server/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4. **がブラウザがサポートするの.p12フォーマットにする :
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem -out server/server.p12
パスワード:changeit
三.client**を生成する。
1.キーを生成する:
C:\OpenSSL\bin>openssl genrsa -out client/client-key.pem 1024
2.リクエスト**を生成する:
C:\OpenSSL\bin>openssl req -new -out client/client-req.csr -key client/client-key.pem
-----
Country Name (2 letter code) [AU]:cn
State or Province Name (full name) [Some-State]:zhejiang
Locality Name (eg, city) []:hangzhou
Organization Name (eg, company) [Internet Widgits Pty Ltd]:skyvision
Organizational Unit Name (eg, section) []:test
Common Name (eg, YOUR name) []:sky
Email Address []:sky 注釈:コアにアクセスしたのカスタマー
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:123456
An optional company name []:tsing
3.自署名** :
C:\OpenSSL\bin>openssl x509 -req -in client/client-req.csr -out client/client-cert.pem -signkey client/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial -days 3650
4**がブラウザがサポートするの.p12フォーマットにする:
C:\OpenSSL\bin>openssl pkcs12 -export -clcerts -in client/client-cert.pem -inkey client/client-key.pem -out client/client.p12
パスワード:changeit
四.ca**によってjksファイルを生成する
C:\Java\jdk1.5.0_09\bin > keytool -keystore C:\openssl\bin\jks\truststore.jks -keypass 222222 -storepass 222222 -alias ca -import -trustcacerts -file C:\openssl\bin\ca\ca-cert.pem
五.配置tomcat ssl
conf/server.xml。tomcat6を修正した後SSLEnabled="true"プロパティを添加した。keystorefile, truststorefileが正しパスを設置する
xml コード
tomcat 5.5の配置:
<Connector port="8443" maxHttpHeaderSize="8192"
maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS" />
tomcat6.0の配置:
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="true" sslProtocol="TLS"
keystoreFile="server.p12" keystorePass="changeit" keystoreType="PKCS12"
truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"/>
六.**を導入する
サーバーがserver.P12 とca.p12**を導入する
クライアントサイドがca.p12,client.p12**が
IEに導入する(IE->;Internet選択肢->内容->**)。
ca.p12が信じできるの**に導入する,client.p12が個人に導入する
七.ssl配置が正しとか検査する
http://ip:8443/にアクセスする,正なら数字をリクエスト**のダイアログボックスを現れた。
Translated from:http://blog.csdn.net/a332897696/archive/2009/12/07/4956913.aspx