本文目录一览:
- 1、如何生成CA证书
- 2、WindowsServer 项目实操(4)CA证书
- 3、如何使用 Windows Server 2008 企业 CA 获取证书
- 4、windows10申请CA证书 为了完成证书注册,必须将该CA的网站配置为使用HTTPS身份验证
如何生成CA证书
如何生成CA证书
一般情况下,如果能找到可用的证书,就可以直接使用,只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效,但这并不影响使用。
需要手工生成证书的情况有:
找不到可用的证书
需要配置双向SSL,但缺少客户端证书
需要对证书作特别的定制
首先,无论是在Linux下还是在Windows下的Cygwin中,进行下面的操作前都须确认已安装OpenSSL软件包。
1. 创建根证书密钥文件(自己做CA)root.key:
openssl genrsa -des3 -out root.key
输出内容为:
[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long modulus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 输入一个新密码
Verifying – Enter pass phrase for root.key: ← 重新输入一遍密码
2. 创建根证书的申请文件root.csr:
openssl req -new -key root.key -out root.csr
输出内容为:
[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 输入前面创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家代号,中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名,拼音
Locality Name (eg, city) []:BeiJing ← 市的全名,拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 此时不输入
Email Address []:admin@mycompany.com ← 电子邮箱,可随意填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
3. 创建一个自当前日期起为期十年的根证书root.crt:
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt
输出内容为:
[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt -windows配置ca证书
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./emailAddress=admin@mycompany.com
Getting Private key
Enter pass phrase for root.key: ← 输入前面创建的密码
4. 创建服务器证书密钥server.key:
openssl genrsa –des3 -out server.key 2048
输出内容为:
[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long modulus
….+++
…………………………………………..+++
e is 65537 (0×10001)
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施! -windows配置ca证书
去除key文件口令的命令:
openssl rsa -in server.key -out server.key
5.创建服务器证书的申请文件server.csr:
openssl req -new -key server.key -out server.csr
输出内容为:
[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称,中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名,拼音
Locality Name (eg, city) []:BeiJing ← 市名,拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 服务器主机名,若填写不正确,浏览器会报告证书无效,但并不影响使用
Email Address []:admin@mycompany.com ← 电子邮箱,可随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入
6. 创建自当前日期起有效期为期两年的服务器证书server.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt-windows配置ca证书
输出内容为:
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt -windows配置ca证书
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=
Getting CA Private Key
Enter pass phrase for root.key: ← 输入前面创建的密码
7. 创建客户端证书密钥文件client.key:
openssl genrsa -des3 -out client.key 2048
输出内容为:
[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long modulus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 输入一个新密码
Verifying – Enter pass phrase for client.key: ← 重新输入一遍密码
8. 创建客户端证书的申请文件client.csr:
openssl req -new -key client.key -out client.csr
输出内容为:
[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 输入上一步中创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称,中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名称,拼音
Locality Name (eg, city) []:BeiJing ← 市名称,拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名,可以随便填
Email Address []:admin@mycompany.com ← 电子邮箱,可以随便填
Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填
9. 创建一个自当前日期起有效期为两年的客户端证书client.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt-windows配置ca证书
输出内容为:
[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt -windows配置ca证书
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=
Getting CA Private Key
Enter pass phrase for root.key: ← 输入上面创建的密码
10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx:
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
输出内容为:
[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 输入上面创建的密码
Enter Export Password: ← 输入一个新的密码,用作客户端证书的保护密码,在客户端安装证书时需要输入此密码
Verifying – Enter Export Password: ← 确认密码
11. 保存生成的文件备用,其中server.crt和server.key是配置单向SSL时需要使用的证书文件,client.crt是配置双向SSL时需要使用的证书文件,client.pfx是配置双向SSL时需要客户端安装的证书文件-windows配置ca证书
.crt文件和.key可以合到一个文件里面,把2个文件合成了一个.pem文件(直接拷贝过去就行了)
参考:
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////-windows配置ca证书
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////-windows配置ca证书
x509证书一般会用到三类文,key,csr,crt。
Key是私用密钥openssl格,通常是rsa算法。
Csr是证书请求文件,用于申请证书。在制作csr文件的时,必须使用自己的私钥来签署申,还可以设定一个密钥。
crt是CA认证后的证书文,(windows下面的,其实是crt),签署人用自己的key给你签署的凭证。
1.key的生成
opensslgenrsa -des3 -out server.key 2048
这样是生成rsa私钥,des3算法,openssl格式,2048位强度。server.key是密钥文件名。为了生成这样的密钥,需要一个至少四位的密码。可以通过以下方法生成没有密码的key:
opensslrsa -in server.key -out server.key
server.key就是没有密码的版本了。
2.生成CA的crt
opensslreq -new -x509 -key server.key -out ca.crt -days3650
生成的ca.crt文件是用来签署下面的server.csr文件。
3.csr的生成方法
opensslreq -new -key server.key -outserver.csr
需要依次输入国家,地区,组织,email。最重要的是有一个common name,可以写你的名字或者域名。如果为了https申请,这个必须和域名吻合,否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。 -windows配置ca证书
4.crt生成方法
CSR文件必须有CA的签名才可形成证书,可将此文件发送到verisign等地方由它验证,要交一大笔钱,何不自己做CA呢。
opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt-windows配置ca证书
输入key的密钥后,完成证书生成。-CA选项指明用于被签名的csr证书,-CAkey选项指明用于签名的密钥,-CAserial指明序列号文件,而-CAcreateserial指明文件不存在时自动生成。-windows配置ca证书
最后生成了私用密钥:server.key和自己认证的SSL证书:server.crt
证书合并:
catserver.key server.crt server.pem
WindowsServer 项目实操(4)CA证书
证书和CA的区别?
CA证书颁发机构:是Windows Server中自带的服务,安装CA服务器成为证书服务器,CA可以颁发证书。
证书:证书服务器生成的一个文件(工具),使用此文件(工具)可以实现加密等功能。
一般来说,推荐去供应商买证书,这样可以全网认,如果是自己颁发的证书,基本只能在DC中使用!
CA证书部署
———————————————————————————————————————
实战:使用CA证书加密网站
1.新建一个index.html网站
2.申请证书
把证书存储到桌面,方便等会申请
打开证书申请网站 http:\\localhost\certsrv
另存为到桌面上
——————————————————————————————————————————————————————————————————————————
3.完成或者导入证书
IIS上没有我刚刚新建的fly.com这张证书。感觉是这个系统有点问题,不知道咋回事。网上查了下好像是这个版本有问题。所以推荐另一种方法!!!(要是推进不下去就私聊我)
1.第一张是CA本身的认证证书,我们申请的第二张证书没有在IIS服务证书里面,所以我这边直接在mms里面导出。
2.运行-mms -添加证书组件
导入刚刚导出的证书
4.新建网址,通过CA证书进行加密!
参数如图
如何使用 Windows Server 2008 企业 CA 获取证书
使用本主题中的过程从独立的 Windows Server 2008 R2 或提供 Active Directory 证书服务 (AD CS) 的 Windows 服务器 2008 R2 SP1–based 计算机获取证书。您可以使用 certreq 中的命令行实用程序来请求和接受证书,并使用 Web 界面来提交和检索您的证书。-windows配置ca证书
它假定您有安装 AD CS、 正在使用 HTTPS 绑定,并且其相关联的证书已安装。主题中提供了有关创建 HTTPS 绑定的信息 如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定.-windows配置ca证书
重要
本主题的内容根据默认设置的 Windows 服务器 2008 AD CS ; 例如,将密钥长度设置为 2048,CSP,作为选择 Microsoft 软件密钥存储提供程序,并使用安全哈希算法 1 (SHA1)。评估这些选项对您公司的安全策略的要求。-windows配置ca证书
若要从独立证书颁发机构 (CA) 获取证书的高级过程如下所示:
1下载的受信任根 (CA) 证书.
2导入受信任的根 (CA) 证书
3创建一个安装程序信息文件若要使用 certreq 中的命令行实用程序。
4创建请求文件.
5将请求提交到 CA 使用请求文件.
6批准挂起的证书请求.
7从 CA 检索证书.
8将证书导入证书存储区.
9将证书导入使用 MOMCertImport 的运营经理.
下载的受信任根 (CA) 证书
若要下载的受信任根 (CA) 证书
1在登录到计算机所需安装证书 ; 例如,网关服务器和管理服务器。
2启动 Internet Explorer,并连接到计算机承载证书服务 ; 示例: 例如,;服务器名称/certsrv。
3在“欢迎”页上,单击“下载 CA 证书、证书链或 CRL”。
4在下载 CA 证书,证书链或 CRL 页上,单击编码方法,请单击 Base 64,然后单击 下载 CA 证书链。
5在文件下载 对话框中,单击 保存和保存证书 ; 例如, Trustedca.p7b。
6当下载完成后时,关闭 Internet Explorer。
导入受信任的根 (CA) 证书
若要导入受信任的根 (CA) 证书
1在 Windows 桌面上,单击“开始”,然后单击“运行”。
2在运行 对话框中,键入 mmc 中, ,然后单击确定。
3在“Console1”窗口中,单击“文件”,然后单击“添加/删除管理单元”。
4在“添加/删除管理单元”对话框中,单击“添加”。
5在“添加独立管理单元”对话框中,单击“证书”,然后单击“添加”。
6在“证书管理单元”对话框中,选择“计算机帐户”,然后单击“下一步”。
7在“选择计算机”对话框中,确保选择“本地计算机:(运行此控制台的计算机)”选项,然后单8击“完成”。
8在“添加独立管理单元”对话框中,单击“关闭”。
9在“添加/删除管理单元”对话框中,单击“确定”。
10在控制台 1 窗口中,展开证书 (本地计算机),展开 受信任的根证书颁发机构,然后单击 证书。
11用鼠标右键单击证书,请选择 的所有任务,然后单击 导入。
12在证书导入向导中,单击下一。
13在导入的文件 页上,单击 浏览 和选择下载 CA 证书文件,例如,TrustedCA.p7b,选择该文件,该位置,然后单击 打开。
14在导入的文件 页上,选择 将所有证书都放入下列存储区 并确保 受信任的根证书颁发机构 出现在 的证书存储区 框中,然后再单击 下一。
15在完成证书导入向导 页上,单击 完成。
创建一个安装程序信息文件
若要创建安装信息 (.inf) 文件
1在承载您正在为其请求证书的操作管理器功能的计算机,请单击开始,然后单击 运行。
2在运行 对话框中,键入 记事本,然后单击 确定。
3创建包含以下内容的文本文件:
[] NewRequest
主题 ="CN =的计算机创建证书,例如,网关服务器或管理服务器的 FQDN。"
可导出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件扩展名,例如,RequestConfig.inf 与保存该文件。
5关闭记事本。
创建请求文件
若要创建使用独立的 CA 申请文件
1在承载您正在为其请求证书的操作管理器功能的计算机,请单击开始,然后单击 运行。
2在“运行”对话框中,键入 cmd,然后单击“确定”。
3在命令窗口中,键入 certreq 中名-新建 – f RequestConfig.inf CertRequest.req,然后按 enter 键。
4用记事本打开生成的文件 (例如,CertRequest.req)。复制到剪贴板上此文件的内容。
将请求提交到 CA 使用请求文件
若要向独立 CA 提交一个请求
1承载您请求证书的操作管理器功能的计算机,启动 Internet Explorer,然后连接到提供证书服务的计算机 (例如,;服务器名称/certsrv)。
注释
如果没有证书服务 Web 站点上配置 HTTPS 绑定,则浏览器将无法连接。有关详情,请参阅如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定。
2在 Microsoft 活动目录证书服务欢迎 屏幕中,单击 请求一个证书。
3在请求一个证书 页上,单击 高级的证书申请。
4在高级证书申请 页上,单击 提交证书申请使用 64 编码 CMC 或 PKCS #10 文件,或通过使用 64 编码的 PKCS #7 文件提交续订请求。
5在提交的证书申请或续订请求 页面,在 保存请求 文本框中,CertRequest.req 文件中复制的内容的步骤 4 中先前的操作过程,然后单击的粘贴 提交。
6关闭 Internet Explorer。
批准挂起的证书请求
批准挂起的证书申请
1登录到承载 Active Directory 证书服务的计算机证书颁发机构管理员。
2在 Windows 桌面上,请单击开始,指向 程序,指向 管理工具,然后单击 证书颁发机构。
3在“证书颁发机构”中,展开您的证书颁发机构名称的节点,然后单击“挂起的申请”。
4在结果窗格中,右键单击上述过程中挂起的申请,指向“所有任务”,然后单击“颁发”。
5单击“颁发的证书”,然后确认您刚颁发的证书已列出。
6关闭证书颁发机构。
从 CA 检索证书
检索证书
在登录到计算机所需安装证书 ; 例如,网关服务器和管理服务器。
启动 Internet Explorer,并连接到提供证书服务的计算机 (例如,;服务器名称/certsrv)。
在 Microsoft 活动目录证书服务欢迎 页上,单击 查看挂起的证书申请的状态。
在“查看挂起的证书申请状态”页上,单击您申请的证书。
在证书颁发的 页上,选择 Base 64 编码,然后单击 下载证书。
在文件下载-安全警告 对话框中,单击 保存,并保存该证书 ; 例如,作为 NewCertificate.cer。
在“证书已安装”页面上,在您看到“您的新证书已经成功安装”消息之后,请关闭浏览器。
关闭 Internet Explorer。
将证书导入证书存储区
若要将证书导入证书存储区
在承载您配置证书的操作管理器功能的计算机,请单击开始,然后单击 运行。
在“运行”对话框中,键入 cmd,然后单击“确定”。
在命令窗口中,键入 certreq 中 –Accept NewCertifiate.cer,然后按 enter 键。
将证书导入使用 MOMCertImport 的运营经理
若要将证书导入使用 MOMCertImport 的运营经理
登录到管理员组的成员的帐户安装证书的计算机上。
在 Windows 桌面上,单击“开始”,然后单击“运行”。
在“运行”对话框中,键入 cmd,然后单击“确定”。
在命令提示符处,键入 驱动器号:(其中驱动器盘符 是驱动器其中 Operations Manager安装媒体的位置),然后按 enter 键。
类型 cd\SupportTools\i386,然后按 enter 键。
注释
在 64 位计算机上,键入 cd\SupportTools\amd64
键入下列命令:
MOMCertImport /SubjectName 证书使用者名称
按 Enter。
1注释
机器翻译免责声明:本文由计算机系统在未经人为干预的情况下翻译。Microsoft 提供机器翻译来帮助非英语用户阅读有关 Microsoft 产品、服务和技术的内容。由于本文为机器翻译,因此可能包含词汇、句法或语法方面的错误。-windows配置ca证书
windows10申请CA证书 为了完成证书注册,必须将该CA的网站配置为使用HTTPS身份验证
1、点你的默认网站,右边画面里找到一个"ssl设置",点进去,将“要求SSL前面的勾去掉”,你的证书申请完后,可以再开启,这时就必须用HTTPS:// 进行访问。
2、https证书(SSL证书)是一种加密网站数据传输和服务器身份认证的安全证书,需要的合法CA机构申请:网页链接
3、合法CA机构签发的https证书是受浏览器信任的证书,我们访问百度看见的浏览器地址栏的绿色小锁和https就是使用了ssl证书,有时候也会看见红色https和一把叉,表示该证书不是浏览器信任的证书,有安全风险,比如自签名证书。-windows配置ca证书
