分类: LINUX
2010-06-16 22:38:59
一、建立CA中心:
1、生成私钥。
2、用私钥通过X.509协议生成CA中心的公钥。
二、建立Web服务器:
1、生成一个私钥,通过私钥生成证书请求文件。
2、用请求文件通过CA中心的私钥签名,生成Web的公钥证书。
3、在Web服务器上安装这把公钥。
4、开启Web服务器的SSL加密认证。
说明:
1、当客户端通过浏览去访问Web服务时。因为CA不是互联网上受信任的根证书颁
发机构,所以当客户端连接时。会提示你要不要信任这个CA机构。
2、CA中心加密了Web服务器的公钥,客户端知道CA中心的公钥。
3、当客户端通过浏览去访问Web服务时,如果客户端可以认证Web服务器的公钥。
客户端就认为Web服务器是合法的。前提要第一步信任这个CA机构。
4、客户端和Web服务通过SSL协议,在客户端协商出一个session-key。客户端
通过Web的公钥加密。传给Web端,Web端通过它的私钥解密。这样客户端和Web
有一把共享的密钥。(就是session-key啦)
注:公钥加密私钥解 ---- 用于数据的加密
私钥加密公钥解 ---- 用于数字签名中,身份的验证,保证数据的完整性,而不是对数据进行加密
Linux下:
1、Generate a private key:
#(umask 077; openssl genrsa -out /etc/pki/CA/private/my-ca.key -des3 2048) |
2、Use x.509 generate a self-signed CA certificate
#openssl req -new -x509 -key /etc/pki/CA/private/my-ca.key -days 360 > my-ca.crt |
3、sign the request file:
#openssl ca -in *.csr -out *.crt |
windows下:
cipher /r:administrator 把administrator这个用户做为用户的数据恢复代理
certutil -vroot 生成一个证书请求的虚拟目录。
