Chinaunix首页 | 论坛 | 博客
  • 博客访问: 570431
  • 博文数量: 201
  • 博客积分: 7734
  • 博客等级: 少将
  • 技术积分: 1994
  • 用 户 组: 普通用户
  • 注册时间: 2010-04-09 19:18
文章分类

全部博文(201)

文章存档

2011年(28)

2010年(173)

分类: LINUX

2010-06-16 22:38:59

[文章作者:曾庆华  转载请注明原文链接:http://linscora.cublog.cn]

一、建立CA中心:

1、生成私钥。

2、用私钥通过X.509协议生成CA中心的公钥。

二、建立Web服务器:

1、生成一个私钥,通过私钥生成证书请求文件。

2、用请求文件通过CA中心的私钥签名,生成Web的公钥证书。

3、在Web服务器上安装这把公钥。

4、开启Web服务器的SSL加密认证。


说明

1、当客户端通过浏览去访问Web服务时。因为CA不是互联网上受信任的根证书颁

发机构,所以当客户端连接时。会提示你要不要信任这个CA机构。

2、CA中心加密了Web服务器的公钥,客户端知道CA中心的公钥。

3、当客户端通过浏览去访问Web服务时,如果客户端可以认证Web服务器的公钥。

客户端就认为Web服务器是合法的。前提要第一步信任这个CA机构。

4、客户端和Web服务通过SSL协议,在客户端协商出一个session-key。客户端

通过Web的公钥加密。传给Web端,Web端通过它的私钥解密。这样客户端和Web

有一把共享的密钥。(就是session-key啦)


注:公钥加密私钥解  ----   用于数据的加密 

   私钥加密公钥解  ----   用于数字签名中,身份的验证,保证数据的完整性,而不是对数据进行加密


Linux下:

1、Generate a private key:

#(umask 077; openssl genrsa -out /etc/pki/CA/private/my-ca.key -des3 2048)

2、Use x.509 generate a self-signed CA certificate

#openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 360 > my-ca.crt

3、sign the request file:

#openssl ca -in *.csr -out *.crt



windows下:



cipher /r:administrator 把administrator这个用户做为用户的数据恢复代理

certutil -vroot 生成一个证书请求的虚拟目录。

阅读(1082) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~