分类: 网络与安全
2009-08-26 13:51:14
标准的wpa_supplicant 可以支持 enterprise mode. 其中包括 EAP-TLS/ EAP-TTLS/ EAP-SIM/ EAP-PEAP 等。
如果要支持EAP-TLS 模式,是需要证书的,当然,还有其他的也需要证书。
1. 下面是用OPENSSL 来产生根证书,服务器端证书和客户端证书的命令。
1.1 for CA:
sudo openssl genrsa -des3 -out ca.key 2048
sudo openssl req -x509 -new -out ca.crt -key ca.key -days 3650
1.2 for Server:
sudo openssl genrsa -des3 -out server.key 2048
sudo openssl req -new -key server.key -out server.csr
sudo openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
1.3 for Client:
sudo openssl genrsa -des3 -out client.key 2048
sudo openssl req -new -key client.key -out client.csr
sudo openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365
2. 以下的命令是用于进行证书格式转换的。
2.1 from p12 to PEM
sudo openssl pkcs12 -clcerts -nokeys -in KEYSTORE.p12 -out MYCERT.pem
sudo openssl pkcs12 -nocerts -in KEYSTORE.p12 -out MYKEY.pem
2.2 from PEM to P12
sudo openssl pkcs12 -export -in MYCERT.crt -inkey MYKEY.pem -out KEYSTORE.p12 -clcerts
2.3 from PEM to DER (e.g. .crt .cer .der)
sudo openssl x509 -outform der -in MYCERT.pem -out MYCERT.crt
3. 以下的命令用于检查证书的。
sudo openssl rsa -in MYKEY.key -check
sudo openssl req -text -noout -verify -in MYCSR.csr
sudo openssl x509 -in MYCERT.crt -text -noout
sudo openssl pkcs12 -info -in KEYSTORE.p12