1.自建CA,签署证书
#openssl配置文件路径
vim/etc/pki/tls/openssl.cnf
#下面只列出配置文件中和自建CA有关的几个关键指令
dir=/etc/pki/CA#CA的工作目录
database=$dir/index.txt#签署证书的数据记录文件
new_certs_dir=$dir/newcerts#存放新签署证书的目录
serial=$dir/serial#新证书签署号记录文件
certificate=$dir/ca.crt#CA的证书路径 (主要修改这里)
private_key=$dir/private/cakey.pem#CA的私钥路径
2.openssl制作CA的自签名证书
#切换到CA目录
cd /etc/pki/CA
#制作CA私钥
openssl genrsa -out private/cakey.pem 2048
#制作自签名证书
openssl req -new -x509 -key private/cakey.pem -outca.crt
#生成数据记录文件,生成签署号记录文件,给文件一个初始号。
touch index.txt //生成数据库记录文件
touchserial
echo'01'>serial
3.生成服务器端证书
#制作服务器端私钥
openssl genrsa -out server.key 1024
#制作服务器端证书申请指定使用sha512算法签名(默认使用sha1算法)
openssl req -new -key server.key -sha512 -out server.csr
#签署证书
openssl ca -in server.csr -out server.crt -days 3650
4.生成客户端证书
#制作客户端私钥
openssl genrsa -out client.key 1024
#制作客户端证书申请
openssl req -new -key client.key -out client.csr
#签署证书
openssl ca -in client.csr -out client.crt -days 3650
注意事项:
1、制作证书时会提示输入密码,设置密码可选,服务器证书和客户端证书密码可以不相同。
2、服务器证书和客户端证书制作时提示输入省份、城市、域名信息等,需保持一致。
3、以下信息根证书需要和客户端证书匹配,否则可能出现签署问题
4、客户端和服务端证书输入的信息一模一样在签署证书会报 (failed to update database TXT_DB error number 2)错误
解决方式: /etc/pki/CA/index.txt 是不允许生成两条相同的数据, /C=CN/ST=GuangDong/O=default 修改 /C=CN/ST=GuangDong/O=aaa
(不一定这样修改,随便修改一下字母也ok)
5.Nginx配置文件
#ssl 443端口配置添加
ssl on;
ssl_certificate 你的证书路径/server.crt;
ssl_certificate_key 你的证书路径/server.key;
ssl_client_certificate /etc/pki/CA/ca.crt;
6.客户端证书格式转换
openssl pkcs12 -export -inkey client.key -in client.crt -out client.p12
#window安装证书 双击打开下一步即可
7.使用php curl 访问
1. openssl pkcs12 -in client.p12 -clcerts -nokeys -out public-cert.pem
2. openssl pkcs12 -in client.p12 -nocerts -out private-key.pem
3. # curl_setopt($ch,CURLOPT_SSLCERTTYPE,'PEM');
# curl_setopt($ch,CURLOPT_SSLCERT,'你的路径/public-cert.pem');
# curl_setopt($ch,CURLOPT_SSLCERTPASSWD,'你的密码');
# curl_setopt($ch,CURLOPT_SSLKEYTYPE,'PEM');
# curl_setopt($ch,CURLOPT_SSLKEY,'你的路径/private-key.pem');
