利用OpenSSL创建证书链并应用于IIS7

一、系统环境说明

• Linux & OpenSSL

 Linux localhost 2.6.-.el5 # SMP Tue Mar  :: EDT  x86_64 x86_64 x86_64 GNU/Linux
 [root@localhost /home/study]#openssl version
 OpenSSL 0.9.8e-fips-rhel5  Jul 

• Windows & IIS

　　Windows 7 X64 , IIS 7, 默认网站

二、创建密钥链

　　注意：请先看一下最后的注意事项，避免走弯路。

　　1. 创建根证书（自签名证书）

 echo "create root ca key"
 openssl genrsa -out root-key.key
 echo ----------------------
 echo "create root cert request"
 openssl req -new -key root-key.key -out root-req.csr -text -subj "/CN=MRootCA"
 echo ----------------------
 echo "create root self sign cert"
 openssl x509 -req -in root-req.csr -out RootCA.crt -sha1 -signkey root-key.key -days  -text -extfile openssl.cnf -extensions v3_ca

　　2. 创建中级证书（利用RootCA私钥签名）

 echo "create 2 level cert key"
 openssl genrsa -des3 -out root-mid.key
 echo ----------------------
 echo "create 2 level cert csr"
 openssl req -new -key root-mid.key -out root-mid.csr -text -subj "/CN=MidCA"
 echo ----------------------
 echo "sign with root-crt"
 openssl x509 -req -in root-mid.csr -CA RootCA.crt -CAkey root-key.key -CAcreateserial  -days  -out RootMid.crt -text -extfile openssl.cnf -extensions v3_ca

　　3. 创建服务器证书（利用中级证书私钥签名）

　　（使用openssl创建申请：openssl req -out server.csr -new -sha256 -newkey rsa:2048 -nodes -keyout server.key）

　　证书申请创建：

 #在IIS中“创建证书申请”文件，拷贝到Linux系统中（假设名称为Server.csr)
 openssl x509 -req -in Server.csr -CA RootMid.crt -CAkey root-mid.key -CAcreateserial -days  -out Server.crt -text -extfile openssl.cnf -extensions v3_ca

　　4. 将根证书(RootCA.crt)、中级证书(MidCA.crt)、服务器证书(Server.crt)拷贝到Win7中

　　5. 导入RootCA.crt导入到“受信任的根证书颁发机构”，MidCA.crt导入到“中级证书颁发机构” — 都是本地计算机

　　6. 执行“完成证书申请步骤”，绑定网站到SSL，并指定证书为Server.crt的友好名称

　　7. 访问https://ip即可进行验证。

三、注意事项

　　1. 当证书签发超过两级时，在IE中查看证书是会出现如下“因为证书路径中的证书颁发机构似乎没有颁发证书的权限或不能被用作终端实体证书，证书无效”错误，修改openssl默认配置即可（默认配置在v3_ca配置节，路径/etc/pki/tls/openssl.cnf）。

 # This is what PKIX recommends but some broken software chokes on critical
 # extensions.
 #basicConstraints = critical,CA:true
 # So we do this instead.
 #basicConstraints = CA:true
 # xwliu
 basicConstraints = CA:true,pathlen:

四、参考资料

关于数字证书的概念请参考以下链接：

<http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html>

关于证书与证书链的高层次理解请参考如下链接：

<http://lukejin.iteye.com/blog/587200>

其他参考资料：

<http://firefly.iteye.com/blog/674208>

<http://wenku.baidu.com/view/32409a4058fb770bf78a5577.html>

CRT转PEM：openssl x509 -in server.crt -out server.pem

PFX转PEM：openssl pkcs12 -in server.pfx -out server.pem -nodes

****************转载请注明出处******************