|
lighttpd配置建立https双向认证 0、lighttpd的配置 先说配置,再说其中的文件如何生成 server.name = "xxx.com" ssl.engine = "enable" ssl.use-sslv2 = "disable" ssl.pemfile = "/etc/lighttpd/newcert.pem" ssl.verifyclient.activate = "enable" ssl.verifyclient.depth = 1 ssl.ca-file = "/etc/lighttpd/rootca.pem" 1、准备工作 下载openssl包,提取其中CA.pl wget http://www.openssl.org/source/openssl-0.9.8r.tar.gz tar xvzf openssl-0.9.8r.tar.gz 2、建立CA mkdir myca #建立自己的CA cd myca cp ../openssl-0.9.8r/apps/CA.pl . 修改默认的证书生成配置 vi /etc/pki/tls/openssl.cnf ,修改其中的countryName_default、stateOrProvinceName_default、0.organizationName_default等字段,省得每次生成新证书时重新输入 生成CA ./CA.pl -newca 拷贝根CA证书供lighttpd使用 cp demoCA/cacert.pem /etc/lighttpd/rootca.pem 3、生成服务端证书 ./CA.pl -newreq-nodes #生成节点的CSR ./CA.pl -sign #签发 cp newcert.pem /etc/lighttpd/ cat newkey.pem >> /etc/lighttpd/newcert.pem (证书和私钥同时放置于newcert.pem供lighttpd使用) 4、生成客户端证书 ./CA.pl -newreq ./CA.pl -sign 签署后 newcert.pem和newkey.pem分别为客户端的证书和私钥。 5、生成能够导入IE和FireFox浏览器的客户端证书 cp demoCA/cacert.pem cacert.cert openssl pkcs12 -export -clcerts -in ./newcert.pem -inkey ./newkey.pem -out user.p12 生成的cacert.cert 和 user.p12 则可被浏览器导入 对于IE浏览器,通过"选项"-"内容"-"证书",先导入user.p12 ps:1)Organization Name时三个需要是相同的,如都是Veno2.com。(可以不一样) 2) 在生成服务器证书的时候,Common Name需要是服务器的IP,或者访问的域名。(必须,不然访问时会报安全提示) (责任编辑:IT) |