https双向认证证书生成

前期准备:
ssl证书生成一般可以通过2种工具:java环境下的keytool和openssl 但是大部分使用的都是openssl网上的命令文档也是以openssl居多,下面以openssl举例;
penSSL 是一个安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。
单独下载openssl的话需要配置环境,这点可以自行百度进行配置!
我这边因为还需要配置phpsudy服务器而phpstudy自带有openssl工具所以我就没有去单独下载,后面也是以phpstudy自带的openssl为例说明:
phpstudy本地路劲:

PHPStudy\PHPTutorial\Apache\bin\openssl

比如正常的openssl命令是下面这样:

openssl genrsa -des3 -out ca.key 2048

使用的时候则把openssl指向自己本地路劲的位置即可:

F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -des3 -out ca.key 2048

下面则直接使用正常命令,路劲手动替换一下即可:
win系统下新建一个文件夹用系统管理员打开windows.powershell界面:


快速打开windows.powershell

image.png

开始正式生成证书:
1.CA私钥: ca.key

openssl genrsa -out ca.key 1024
CA私钥: ca.key

2.创建根证书请求文件ca.csr:

openssl req -new -out ca.csr -key ca.key.key

这里需要填入配置信息:

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名(尽量用服务器域名,不然会引起服务器警告)
Email Address []:   邮箱地址(不填直接回车)
A challenge password []:123456 密码
An optional company name []:gs  公司名
ca.csr

3.自签根证书ca.cer:

openssl x509 -req -in ca.csr -out ca.cer -signkey ca.key -CAcreateserial -days 3650
ca.cer

4.生成p12格式根证书ca.p12(密码填写123456,之前ca.csr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)

openssl pkcs12 -export -clcerts -in ca.cer -inkey ca.key -out ca.p12
ca.p12

5.生成服务端key server.key:

F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -out server.key 1024
server.key

6.生成服务端请求文件 server.csr

openssl req -new -out server.csr -key server.key

填入证书配置信息:

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名(尽量用服务器域名,不然会引起服务器警告)
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs  公司名
server.csr

7.生成服务端证书server.cer(ca.cer,ca.key,servr.key,server.csr这4个生成服务端证书):

openssl x509 -req -in server.csr -out server.cer -signkey server.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650
server.cer

8.生成客户端key client.key:

openssl genrsa -out client.key 1024
image.png

9.生成客户端请求文件client.csr:

openssl req -new -out client.csr -key client.key

填入证书配置信息:

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:tyl  签发机构\开发者人员(这里随意)
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs  公司名
client.csr

10.生成客户端证书 client.cer:

openssl x509 -req -in client.csr -out client.cer -signkey client.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650
client.cer

11.生成客户端p12格式根证书client.p12(密码设置123456):

openssl pkcs12 -export -clcerts -in client.cer -inkey client.key -out client.p12

client.p12

至此,证书就制作完毕了:
image.png

服务器端配置(详细配置过程可见:https://www.jianshu.com/p/bbf853fc28f3):

server {
        listen      443 ssl;      #http的端口号是80,https的端口为443
        server_name  www.test.com #服务器域名 配置多个时不要添加;号即可
    ServerName 127.0.0.1
    ServerName 192.168.0.111;
    ssl on;   #开启ssl


    ssl_certificate C:\Users\Administrator\Desktop\ssl4\server.cer;     #服务器证书文件
    ssl_certificate_key C:\Users\Administrator\Desktop\ssl4\server.key; #服务器证书密匙
    ssl_client_certificate C:\Users\Administrator\Desktop\ssl4\ca.cer;  #根证书
    ssl_verify_depth 1;
    ssl_verify_client on; #开启客户端验证

  location / {
            root   F:\PHPStudy\PHPTutorial\WWW;   #本地网站文件目录
            index  index.HTML index.html index.htm ;
        }       
        }

小建议:
制作的时候有的命令可以自行修改的,如证书名称等。
可自建一个txt文本,把openssl命令复制进去后再进行修改好后,才复制到windows powershell界面中执行
注意:
windows powershell执行openssl命令不能有错误提示,认真比对一下证书生成过后的提示,哪怕是警告也可能造成证书是失效的!我就踩过不少的坑,有的错误可以自行百度错误提示解决!

各类知识点整理:

工具类:

源码:

推荐阅读更多精彩内容