第一步:将CSR提交到代理商
CSR(Certificate Signing Request)文件必须由用户自己生成,也可以利用在线CSR生成工具。选择要申请的产品,提交一个新的订单,并将制作好的CSR文件提交。
第二步 资料提交到CA
当收到您的订单和CSR后,如果是域名验证型证书(DV SSL证书),在域名验证之后10分钟左右就可颁发证书,若是其他类型证书则是需要通过CA机构进行验证之后才可颁发。
第三步 发送验证邮件到管理员邮箱
权威CA机构获得资料后,将发送一封确认信到管理员邮箱,信中将包含一个 对应的链接过去。每一个订单,都有一个唯一的PIN以做验证用。
第四步 邮件验证
点击确认信中的链接,可以访问到CA机构验证网站,在验证网站,可以看到该订单的申请资料,然后点击”I Approve”完成邮件验证。
第五步 颁发证书
在用户完成邮件验证之后,CA机构会将证书通过邮件方式发送到申请人自己的邮箱,当用户收到证书后直接安装就可以了。若安装存在问题,我们是提供免费证书安装服务的。
电子证书可以通过利用数字签名和加密技术以及证书颁发机构的认证,来生成一个安全的电子文件。拓展:电子证书能够让用户更有效地进行身份认证,保护自己的个人信息安全不受网络环境的威胁。
1.创建CA私钥: ca.key
2.创建根证书请求文件ca.csr:
这里需要填入配置信息:
3.自签根证书ca.cer:
4.【这一步可做可不做】生成p12格式根证书ca.p12(密码填写123456,之前ca.csr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)
5.生成服务端私钥key server.key:
6.生成服务端请求文件 server.csr
填入证书配置信息:
server.csr
7.生成服务端证书server.cer(ca.cer,ca.key,servr.key,server.csr这4个生成服务端证书):
8.生成客户端key client.key:
9.生成客户端请求文件client.csr:
填入证书配置信息:
10.生成客户端证书 client.cer:
11.【可做可不做】生成客户端p12格式根证书client.p12(密码设置123456):
至此,证书就制作完毕了:
原因:请求没有带上ca证书,无法校验服务器的证书
解决方法1:
curl 加上-cacert ca证书 校验服务器证书
解决方法2:
curl 加上-k 可以不校验服务器证书。
网上给出的答复是:
Whatever method you use to generate the certificate and key files, the Common Name value used for the server and client certificates/keys must each differ from the Common Name value used for the CA certificate. Otherwise, the certificate and key files will not work for servers compiled using OpenSSL.
When OpenSSL prompts you for the Common Name for each certificate, use different names.
解决方案:
参考文档链接:https://www.jianshu.com/p/094c7fc8cb85,感谢作者CQ_TYL
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)