在本地tomcat上,用手机提供热点,于是ip地址可能有时会出现变化,可以实时进行调整。本地为localhost,在实验过程中第一个可能出现的ip为192.168.43.98,第二个为192.168.43.99
①自己给localhost颁发证书,首先创建demoCA
可以先查看openssl.cnf:(root@LAPTOP-LNFPC4GC:/mnt/e/chen/openssl-1.1.1-pre5/apps# vim openssl.cnf)
1.wsl进入E:chenopenssl-1.1.1-pre5appsdemoCA文件夹,创建certs、private、crl、csr、newcerts文件夹。
mkdir certs private crl csr newcerts
2.生成证书索引数据库文件,指定第一个颁发证书的序列号00
touch index.txt
echo 00 > serial
3.生成CA私钥:
(umask 066; openssl genrsa -out private/cakey.pem [-des3] 2048)
4. 生成自签名证书(此时的commonname为root)
openssl req -new -x509 -key private/cakey.pem -days 7300 -out cacert.pem
5.查看自签名证书
cat cacert.pem
6.wsl进入E:chenopenssl-1.1.1-pre5appsa-server
①生成私钥
(umask 066;openssl genrsa -out service.key 2048)
②利用私钥生成证书请求文件, 在需要使用证书的主机生成证书请求(commentname为hocalhost)
openssl req -new -key service.key -days 365 -out service.csr
7.CA端:
①mv service.csr csr/
②CA 签署证书,并将证书颁发给请求者(在apps文件夹下操作)
openssl ca -in ./demoCA/csr/service.csr -out ./demoCA/certs/service.crt -days 100
注意:
③查看证书中的信息
openssl x509 -in ./demoCA/certs/service.crt -noout -text
④看证书状态:
openssl ca -status 00
看最后结果:
把cacert.crt根ca证书放置到浏览器
将root颁发给自己的证书service.crt导入到浏览器,将server.p12放置到tomcat底下的server.xml:
这时,访问https://localhost/donggong 可得:
吊销证书:
将crl.pem改成crl.crl
