windows網(wǎng)絡(luò)編程第9章課件

1、第第9章章 安全套接層協(xié)議安全套接層協(xié)議SSL在第在第5 5章和第章和第8 8章中已經(jīng)介章中已經(jīng)介紹了紹了SocketSocket（套接字）編（套接字）編程基礎(chǔ)和編程模型。使用程基礎(chǔ)和編程模型。使用這些技術(shù)可以很方便地構(gòu)這些技術(shù)可以很方便地構(gòu)建高效、實用的客戶機建高效、實用的客戶機/ /服服務(wù)器應(yīng)用程序。但是普通務(wù)器應(yīng)用程序。但是普通的的SocketSocket模型使用明文傳模型使用明文傳輸數(shù)據(jù)，信息很容易被攔輸數(shù)據(jù)，信息很容易被攔截和監(jiān)聽。隨著電子商務(wù)截和監(jiān)聽。隨著電子商務(wù)的普及，在線支付勢在必的普及，在線支付勢在必行，網(wǎng)絡(luò)安全變得尤為重行，網(wǎng)絡(luò)安全變得尤為重要。本章所介紹的安全套要。本章所

2、介紹的安全套接層協(xié)議接層協(xié)議SSLSSL可以用來保障可以用來保障在在InternetInternet上數(shù)據(jù)傳輸?shù)纳蠑?shù)據(jù)傳輸?shù)陌踩?，利用?shù)據(jù)加密技術(shù)，安全，利用數(shù)據(jù)加密技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上的傳可確保數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸過程中不會被截取及竊輸過程中不會被截取及竊聽。聽。本章知識點本章知識點9.1 9.1 什么是什么是SSLSSL9.2 9.2 數(shù)字證書數(shù)字證書9.3 OpenSSL 9.3 OpenSSL 編程基礎(chǔ)編程基礎(chǔ)9.4 OpenSSL 9.4 OpenSSL 編程實例編程實例9.1 什么是什么是SSL9.1.1 SSL9.1.1 SSL簡介和相關(guān)概念簡介和相關(guān)概念9.1.2 SSL9.

3、1.2 SSL的握手過程的握手過程9.1.1 SSL簡介和相關(guān)概念簡介和相關(guān)概念p打開打開IEIE的的InternetInternet選項對話框選擇使用選項對話框選擇使用的的SSLSSL版本版本SSL協(xié)議的體系結(jié)構(gòu)協(xié)議的體系結(jié)構(gòu)1SSL證書證書pSSLSSL證書是數(shù)字證書的一種，在建立證書是數(shù)字證書的一種，在建立SSLSSL連接時，連接時，WebWeb服務(wù)器需要一個服務(wù)器需要一個SSLSSL證書，證書，用于證明網(wǎng)站的真實身份，提高用戶對用于證明網(wǎng)站的真實身份，提高用戶對網(wǎng)站的信任度；有效避免釣魚網(wǎng)站、仿網(wǎng)站的信任度；有效避免釣魚網(wǎng)站、仿冒網(wǎng)站等網(wǎng)絡(luò)詐騙行為的威脅；冒網(wǎng)站等網(wǎng)絡(luò)詐騙行為的威脅；

4、建立建立SSLSSL安全通道，確保客戶與網(wǎng)站之間的信安全通道，確?？蛻襞c網(wǎng)站之間的信息加密傳輸，保證安全。息加密傳輸，保證安全。2密鑰密鑰p密鑰是數(shù)據(jù)加密解密過程中的一種參數(shù)密鑰是數(shù)據(jù)加密解密過程中的一種參數(shù)，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換，它是在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的數(shù)據(jù)。密鑰分為為明文的算法中輸入的數(shù)據(jù)。密鑰分為兩種：對稱密鑰與非對稱密鑰。兩種：對稱密鑰與非對稱密鑰。對稱密鑰加密對稱密鑰加密非對稱密鑰加密非對稱密鑰加密3CSR文件文件pCSRCSR是是Cerificate Signing RequestCerificate Signing Request的英的英文

5、縮寫，即證書簽發(fā)請求文件。證書申文縮寫，即證書簽發(fā)請求文件。證書申請者在申請數(shù)字證書時，由請者在申請數(shù)字證書時，由CSPCSP（加密服（加密服務(wù)提供者）在生成私鑰的同時生成務(wù)提供者）在生成私鑰的同時生成CSRCSR文文件。證書申請者只要把件。證書申請者只要把CSRCSR文件提交給證文件提交給證書頒發(fā)機構(gòu)，證書頒發(fā)機構(gòu)就可以使用書頒發(fā)機構(gòu)，證書頒發(fā)機構(gòu)就可以使用其根證書私鑰簽名生成證書公鑰文件，其根證書私鑰簽名生成證書公鑰文件，也就是頒發(fā)給用戶的證書。也就是頒發(fā)給用戶的證書。4利用利用MAC算法驗證消息完整性算法驗證消息完整性pMACMAC是是Message Authentication Cod

6、esMessage Authentication Codes的的縮寫，即消息認證碼。縮寫，即消息認證碼。MACMAC算法是帶私鑰算法是帶私鑰的的HashHash函數(shù)，消息的散列值由只有通信函數(shù)，消息的散列值由只有通信雙方知道的秘私鑰雙方知道的秘私鑰K K來控制。此時來控制。此時HashHash值值稱作稱作MACMAC。p HashHash，一般翻譯做，一般翻譯做 散列散列 ，也有直接音，也有直接音譯為譯為 哈希哈希 的，就是把任意長度的輸入的，就是把任意長度的輸入，通過散列算法，變換成固定長度的輸，通過散列算法，變換成固定長度的輸出，該輸出就是散列值。出，該輸出就是散列值。5基于基于SSL的應(yīng)

7、用層協(xié)議的應(yīng)用層協(xié)議協(xié)議名說明HTTPSHTTP是Hypertext Transfer Protocol的縮寫，即超文本傳輸協(xié)議。用于規(guī)定瀏覽器和Web服務(wù)器之間互相通信的規(guī)則。HTTPS是Hyper Text Transfer Protocol over Secure Socket Layer的縮寫，即基于SSL的超文本傳輸協(xié)議。HTTPS是HTTP的安全版。即在HTTP下加入SSL層POP3SPOP3(Post Office Protocol 3)即郵局協(xié)議的第3個版本，它是規(guī)定個人計算機如何連接到互聯(lián)網(wǎng)上的郵件服務(wù)器進行收發(fā)郵件的協(xié)議。它是因特網(wǎng)電子郵件的第一個離線協(xié)議標準，POP3協(xié)議

8、允許用戶從服務(wù)器上把郵件存儲到本地主機（即自己的計算機）上，同時根據(jù)客戶端的操作刪除或保存在郵件服務(wù)器上的郵件，而POP3服務(wù)器則是遵循POP3協(xié)議的接收郵件服務(wù)器，用來接收電子郵件的。POP3S表示 Pop3 (Post Office Protocol) Secure，即基于SSL的POP3FTPS在安全套接層的基礎(chǔ)上使用標準的FTP協(xié)議和指令的一種增強型FTP協(xié)議，為FTP協(xié)議和數(shù)據(jù)通道增加了SSL安全功能。FTPS也稱作“FTP-SSL”和“FTP-over-SSL”MIAPSIMAP是Internet Mail Access Protocol的縮寫，它的主要作用是郵件客戶端（例如MS

9、Outlook Express)可以通過這種協(xié)議從郵件服務(wù)器上獲取郵件的信息，下載郵件等。它與POP3協(xié)議的主要區(qū)別是用戶可以不用把所有的郵件全部下載，可以通過客戶端直接對服務(wù)器上的郵件進行操作。MIAPS是基于SSL的IMAP協(xié)議9.1.2 SSL的握手過程的握手過程在不同情況下，在不同情況下，SSLSSL握手過程存在差異握手過程存在差異。下面介紹以下。下面介紹以下3 3種情況的握手過程種情況的握手過程：（1 1）只驗證服務(wù)器的）只驗證服務(wù)器的SSLSSL握手過程。握手過程。（2 2）驗證服務(wù)器和客戶端的）驗證服務(wù)器和客戶端的SSLSSL握手過握手過程。程。（3 3）恢復原有會話的）恢復原有

10、會話的SSLSSL握手過程。握手過程。1只驗證服務(wù)器的只驗證服務(wù)器的SSL握手過程握手過程 2驗證服務(wù)器和客戶端的驗證服務(wù)器和客戶端的SSL握手過程握手過程3恢復原有會話的恢復原有會話的SSL握手過程握手過程9.2 數(shù)字證書數(shù)字證書9.2.1 9.2.1 基本概念基本概念9.2.2 9.2.2 數(shù)字證書的分類數(shù)字證書的分類9.2.3 9.2.3 數(shù)字證書的授權(quán)機構(gòu)數(shù)字證書的授權(quán)機構(gòu)9.2.4 9.2.4 部署基于數(shù)字證書的部署基于數(shù)字證書的HTTPSHTTPS網(wǎng)網(wǎng)站站9.2.1 基本概念基本概念p數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰

11、的文名的包含公鑰擁有者信息以及公鑰的文件。最簡單的證書包含一個公鑰、名稱件。最簡單的證書包含一個公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證以及證書授權(quán)中心的數(shù)字簽名。數(shù)字證書由一個權(quán)威機構(gòu)書由一個權(quán)威機構(gòu)CACA機構(gòu)，發(fā)行的。機構(gòu)，發(fā)行的。CApCACA是是Certificate AuthorityCertificate Authority的縮寫，即證書的縮寫，即證書授權(quán)中心。作為網(wǎng)絡(luò)營銷交易中受信任的第三授權(quán)中心。作為網(wǎng)絡(luò)營銷交易中受信任的第三方，來解決公鑰體系中公鑰合法性的檢驗問題方，來解決公鑰體系中公鑰合法性的檢驗問題。CACA機構(gòu)是承擔網(wǎng)上安全交易認證服務(wù)、簽發(fā)機構(gòu)是承擔網(wǎng)上安全交易

12、認證服務(wù)、簽發(fā)數(shù)字證書、確認用戶身份的服務(wù)機構(gòu)，是一個數(shù)字證書、確認用戶身份的服務(wù)機構(gòu)，是一個具有權(quán)威性、公正性的第三方。截至具有權(quán)威性、公正性的第三方。截至20142014年年3 3月月1111日，國家工業(yè)和信息化部以資質(zhì)合規(guī)的方日，國家工業(yè)和信息化部以資質(zhì)合規(guī)的方式，陸續(xù)向式，陸續(xù)向3030多家相關(guān)機構(gòu)頒發(fā)了從業(yè)資質(zhì)多家相關(guān)機構(gòu)頒發(fā)了從業(yè)資質(zhì)1加密、解密加密、解密當發(fā)送一份保密文件時，發(fā)送方使用接收當發(fā)送一份保密文件時，發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密，而接收方則使用方的公鑰對數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣信息就可以安全自己的私鑰解密，這樣信息就可以安全無誤地到達目的地了。通

13、過數(shù)字的手段無誤地到達目的地了。通過數(shù)字的手段保證加密過程是一個不可逆過程，即只保證加密過程是一個不可逆過程，即只有用私有密鑰才能解密。有用私有密鑰才能解密。2數(shù)字簽名數(shù)字簽名p用戶也可以采用自己的私鑰對信息加以處理，用戶也可以采用自己的私鑰對信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了數(shù)字簽名。采用數(shù)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認以下兩點：字簽名，能夠確認以下兩點：p（1 1）保證信息是由簽名者自己簽名發(fā)送的，）保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；簽名者不能否認或難以否

14、認；p（2 2）保證信息自簽發(fā)后到收到為止未曾作過）保證信息自簽發(fā)后到收到為止未曾作過任何修改，簽發(fā)的文件是真實文件。任何修改，簽發(fā)的文件是真實文件。9.2.2 數(shù)字證書的分類數(shù)字證書的分類根據(jù)數(shù)字證書的應(yīng)用情況，可以將其分為根據(jù)數(shù)字證書的應(yīng)用情況，可以將其分為p 個人證書個人證書p 企業(yè)或機構(gòu)身份證書企業(yè)或機構(gòu)身份證書p 支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書p 服務(wù)器證書服務(wù)器證書p 企業(yè)或機構(gòu)代碼簽名證書企業(yè)或機構(gòu)代碼簽名證書p 安全電子郵件證書安全電子郵件證書p 個人代碼簽名證書個人代碼簽名證書1個人證書個人證書p 個人證書在網(wǎng)絡(luò)通訊中標識個人的身份，證書中包含個人證書在網(wǎng)絡(luò)通訊中標識個人的身份，證

15、書中包含個人身份信息和個人的公鑰，用于標識證書持有人的個人身份信息和個人的公鑰，用于標識證書持有人的個人身份。數(shù)字安全證書和對應(yīng)的私鑰存儲于個人身份。數(shù)字安全證書和對應(yīng)的私鑰存儲于E-keyE-key或或U U盾等安全客戶端中，用于個人在網(wǎng)上進行合同簽定、盾等安全客戶端中，用于個人在網(wǎng)上進行合同簽定、定單、錄入審核、操作權(quán)限、支付信息等活動中標明定單、錄入審核、操作權(quán)限、支付信息等活動中標明身份。身份。2企業(yè)或機構(gòu)身份證書企業(yè)或機構(gòu)身份證書p頒發(fā)給企事業(yè)單位、政府部門、社會團頒發(fā)給企事業(yè)單位、政府部門、社會團體等各類組織機構(gòu)。用于標志證書持有體等各類組織機構(gòu)。用于標志證書持有人在進行信息交換、

16、電子簽名、電子政人在進行信息交換、電子簽名、電子政務(wù)、電子商務(wù)等網(wǎng)絡(luò)活動中的身份，證務(wù)、電子商務(wù)等網(wǎng)絡(luò)活動中的身份，證書可存放在硬盤、書可存放在硬盤、USB KeyUSB Key、ICIC卡等各類卡等各類介質(zhì)中。介質(zhì)中。3支付網(wǎng)關(guān)證書支付網(wǎng)關(guān)證書p 證書簽發(fā)中心針對支付網(wǎng)關(guān)簽發(fā)的數(shù)字證書，是支證書簽發(fā)中心針對支付網(wǎng)關(guān)簽發(fā)的數(shù)字證書，是支付網(wǎng)關(guān)實現(xiàn)數(shù)據(jù)加解密的主要工具，用于數(shù)字簽名付網(wǎng)關(guān)實現(xiàn)數(shù)據(jù)加解密的主要工具，用于數(shù)字簽名和信息加密。支付網(wǎng)關(guān)證書僅用于支付網(wǎng)關(guān)提供的和信息加密。支付網(wǎng)關(guān)證書僅用于支付網(wǎng)關(guān)提供的服務(wù)服務(wù)(Internet (Internet 上各種安全協(xié)議與銀行現(xiàn)有網(wǎng)絡(luò)數(shù)上各種安

17、全協(xié)議與銀行現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)格式的轉(zhuǎn)換）。支付網(wǎng)關(guān)證書只能在有效狀態(tài)下?lián)袷降霓D(zhuǎn)換）。支付網(wǎng)關(guān)證書只能在有效狀態(tài)下使用且不可被申請者轉(zhuǎn)讓。使用且不可被申請者轉(zhuǎn)讓。 p 支付網(wǎng)關(guān)（支付網(wǎng)關(guān)（Payment GatewayPayment Gateway）是銀行金融網(wǎng)絡(luò)系）是銀行金融網(wǎng)絡(luò)系統(tǒng)和統(tǒng)和InternetInternet網(wǎng)絡(luò)之間的接口，是由銀行操作的將網(wǎng)絡(luò)之間的接口，是由銀行操作的將InternetInternet上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部數(shù)據(jù)的上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部數(shù)據(jù)的一組服務(wù)器設(shè)備，或由指派的第三方處理商家的支一組服務(wù)器設(shè)備，或由指派的第三方處理商家的支付信息和顧客的支付指令。

18、付信息和顧客的支付指令。4服務(wù)器證書服務(wù)器證書p組成組成WebWeb服務(wù)器的服務(wù)器的SSLSSL安全功能的唯一數(shù)安全功能的唯一數(shù)字標識。通過相互信任的第三方組織獲字標識。通過相互信任的第三方組織獲得，并為用戶提供驗證得，并為用戶提供驗證WebWeb站點身份的手站點身份的手段。服務(wù)器證書包含詳細的身份驗證信段。服務(wù)器證書包含詳細的身份驗證信息，如服務(wù)器內(nèi)容附屬的組織、頒發(fā)證息，如服務(wù)器內(nèi)容附屬的組織、頒發(fā)證書的組織以及稱為公鑰信息。服務(wù)器證書的組織以及稱為公鑰信息。服務(wù)器證書可以確保用戶關(guān)于書可以確保用戶關(guān)于webweb服務(wù)器內(nèi)容的驗服務(wù)器內(nèi)容的驗證，而且建立的證，而且建立的HTTPHTTP連接

19、是安全的。連接是安全的。5企業(yè)或機構(gòu)代碼簽名證書企業(yè)或機構(gòu)代碼簽名證書p代碼簽名證書是代碼簽名證書是CACA中心簽發(fā)給軟件提供商的中心簽發(fā)給軟件提供商的數(shù)字證書，包含軟件提供商的身份信息、公數(shù)字證書，包含軟件提供商的身份信息、公鑰及鑰及CACA的簽名。軟件提供商使用代碼簽名證的簽名。軟件提供商使用代碼簽名證書對軟件進行簽名后放到書對軟件進行簽名后放到InternetInternet上，當用上，當用戶在戶在InternetInternet上下載該軟件時，將會得到提上下載該軟件時，將會得到提示，從而可以確信軟件的來源，以及軟件自示，從而可以確信軟件的來源，以及軟件自簽名后到下載前，沒有遭到修改或破

20、壞。簽名后到下載前，沒有遭到修改或破壞。p代碼簽名證書可以對代碼簽名證書可以對 3232位的位的.exe .exe 、.cab .cab 、.ocx.ocx和和.class .class 等程序和文件進行簽名。等程序和文件進行簽名。6安全電子郵件證書安全電子郵件證書p在互聯(lián)網(wǎng)上發(fā)送電子郵件就像郵寄明信片一在互聯(lián)網(wǎng)上發(fā)送電子郵件就像郵寄明信片一樣，很容易被別人隨意閱讀甚至篡改。使用樣，很容易被別人隨意閱讀甚至篡改。使用安全電子郵件證書可以確保郵件的安全性。安全電子郵件證書可以確保郵件的安全性。p安全電子郵件證書可以安裝在標準的互聯(lián)網(wǎng)安全電子郵件證書可以安裝在標準的互聯(lián)網(wǎng)瀏覽器中，可以方便地應(yīng)用于

21、瀏覽器中，可以方便地應(yīng)用于 Netscape Netscape MessengerMessenger、Microsoft OutlookMicrosoft Outlook、Outlook Outlook ExpressExpress等遵循安全電子郵件擴展協(xié)議的程等遵循安全電子郵件擴展協(xié)議的程序中。使用證書后，可以對電子郵件的內(nèi)容序中。使用證書后，可以對電子郵件的內(nèi)容和附件進行加密，確保在傳輸?shù)倪^程中不被和附件進行加密，確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。也可以對電子郵件他人閱讀、截取和篡改。也可以對電子郵件進行簽名，使得接收方可以確認該電子郵件進行簽名，使得接收方可以確認該電子郵件是由

22、發(fā)送方發(fā)送的，并且在傳送過程中未被是由發(fā)送方發(fā)送的，并且在傳送過程中未被篡改。篡改。7個人代碼簽名證書個人代碼簽名證書p CACA中心簽發(fā)給軟件提供人的數(shù)字證書，包含軟件提中心簽發(fā)給軟件提供人的數(shù)字證書，包含軟件提供個人的身份信息、公鑰及供個人的身份信息、公鑰及 CA CA 的簽名。軟件提供的簽名。軟件提供人使用代碼簽名證書對軟件進行簽名后放到人使用代碼簽名證書對軟件進行簽名后放到 Internet Internet 上，當用戶在上，當用戶在 Internet Internet 上下載該軟件上下載該軟件時，將會得到提示，從而可以確信：軟件的來源；時，將會得到提示，從而可以確信：軟件的來源；以及

23、軟件自簽名后到下載前，沒有遭到修改或破壞以及軟件自簽名后到下載前，沒有遭到修改或破壞。代碼簽名證書可以對。代碼簽名證書可以對 32 32位的位的 .exe .exe 、 .cab .cab 、 .ocx .ocx 、 .class .class 等程序和文件進行簽名。等程序和文件進行簽名。9.2.3 數(shù)字證書的授權(quán)機構(gòu)數(shù)字證書的授權(quán)機構(gòu)p 數(shù)字證書由數(shù)字證書由CACA機構(gòu)（機構(gòu)（Certificate AuthorityCertificate Authority，證書授，證書授權(quán)中心）頒發(fā)。權(quán)中心）頒發(fā)。CACA機構(gòu)作為電子商務(wù)交易中受信任的機構(gòu)作為電子商務(wù)交易中受信任的第三方，承擔公鑰體系中

24、公鑰的合法性檢驗的責任。第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA機構(gòu)簽發(fā)數(shù)字證書機構(gòu)簽發(fā)數(shù)字證書9.2.4 部署基于數(shù)字證書的部署基于數(shù)字證書的HTTPS網(wǎng)網(wǎng)站站HTTPS網(wǎng)站的流程的工作流程網(wǎng)站的流程的工作流程（1 1）HTTPSHTTPS網(wǎng)站生成一個證書申請文件，并將其發(fā)送到網(wǎng)站生成一個證書申請文件，并將其發(fā)送到CACA機構(gòu)。機構(gòu)。（2 2）CACA機構(gòu)為機構(gòu)為HTTPSHTTPS網(wǎng)站生成一個根證書，其中包含與網(wǎng)站生成一個根證書，其中包含與HTTPSHTTPS網(wǎng)站進網(wǎng)站進行通訊的公鑰。同時行通訊的公鑰。同時CACA機構(gòu)為機構(gòu)為HTTPSHTTPS網(wǎng)站頒發(fā)一個普通證書。普通證網(wǎng)站頒

25、發(fā)一個普通證書。普通證書繼承自根證書。書繼承自根證書。（3 3）客戶端獲得）客戶端獲得HTTPSHTTPS網(wǎng)站的根證書，并導入客戶端網(wǎng)站的根證書，并導入客戶端“根受信任的頒根受信任的頒發(fā)者發(fā)者”列表。列表。（4 4）客戶端訪問）客戶端訪問HTTPSHTTPS網(wǎng)站時會獲得與其綁定的普通證書，并使用根網(wǎng)站時會獲得與其綁定的普通證書，并使用根證書對普通證書進行驗證，確定是否信任該網(wǎng)站。證書對普通證書進行驗證，確定是否信任該網(wǎng)站。 IE瀏覽器在驗證證書的時候主要從下面瀏覽器在驗證證書的時候主要從下面3個方個方面檢查面檢查（1 1）證書的頒發(fā)者是否在）證書的頒發(fā)者是否在“根受根受信任的證書頒發(fā)機構(gòu)列表信

26、任的證書頒發(fā)機構(gòu)列表”中；中；（2 2）證書是否過期；）證書是否過期；（3 3）證書的持有者是否和訪問的）證書的持有者是否和訪問的網(wǎng)站一致。網(wǎng)站一致。1在在Windows Server 2003中中IIS 6.0在在“控制面板控制面板”中點擊中點擊“添加或刪除程序添加或刪除程序”，打開，打開“添加或刪除程序添加或刪除程序”窗口窗口打開打開“Windows組件向?qū)ЫM件向?qū)А贝翱诖翱谶x擇應(yīng)用程序服務(wù)器組件的窗口選擇應(yīng)用程序服務(wù)器組件的窗口IIS管理窗口管理窗口2配置和管理配置和管理IISp 設(shè)置網(wǎng)站的基本屬性設(shè)置網(wǎng)站的基本屬性設(shè)置網(wǎng)站的主目錄設(shè)置網(wǎng)站的主目錄設(shè)置設(shè)置Web站點的默認文檔站點的默認文

27、檔3安裝證書服務(wù)安裝證書服務(wù)在在“添加或刪除程序添加或刪除程序”窗口中單擊左側(cè)的窗口中單擊左側(cè)的“添加添加/ /刪除刪除WindowsWindows組件組件”圖標，打開圖標，打開“WindowsWindows組件向?qū)ЫM件向?qū)А贝翱?，選窗口，選中中“證書服務(wù)證書服務(wù)”，“選擇選擇CA類型類型”窗口窗口“選擇選擇CA類型類型”窗口窗口“選擇選擇CA類型類型”窗口窗口“是否停止是否停止Internet信息服務(wù)信息服務(wù)”對話框?qū)υ捒蚴欠駟⒂檬欠駟⒂肁SP證書頒發(fā)機構(gòu)管理窗口證書頒發(fā)機構(gòu)管理窗口設(shè)置證書頒發(fā)機構(gòu)的屬性設(shè)置證書頒發(fā)機構(gòu)的屬性 選擇對證書請求的處理策略選擇對證書請求的處理策略4創(chuàng)建請求證書文

28、件創(chuàng)建請求證書文件 默認網(wǎng)站屬性默認網(wǎng)站屬性Web服務(wù)器證書向?qū)Х?wù)器證書向?qū)J網(wǎng)站屬性默認網(wǎng)站屬性延遲或立即請求延遲或立即請求”對話框?qū)υ捒颉懊Q和安全性設(shè)置名稱和安全性設(shè)置”窗口窗口錄入單位信息窗口錄入單位信息窗口 “站點公用名稱站點公用名稱”窗口窗口“地理信息地理信息”窗口窗口 “保存證書請求文件保存證書請求文件”窗口窗口5為為Web站點申請站點申請CA證書證書p安裝證書服務(wù)后，客戶端就可以通過訪安裝證書服務(wù)后，客戶端就可以通過訪問下面的地址申請證書了。問下面的地址申請證書了。http:/http:/網(wǎng)站網(wǎng)站IPIP地址地址/certsrv/certsrv/選擇證書類型選擇證書類型“高

29、級證書申請高級證書申請”頁面頁面提交一個證書申請或續(xù)訂申請?zhí)峤灰粋€證書申請或續(xù)訂申請“證書已頒發(fā)證書已頒發(fā)”頁面頁面查看剛剛頒發(fā)的證書查看剛剛頒發(fā)的證書將證書保存為將證書保存為.cer文件文件6將證書綁定到網(wǎng)站將證書綁定到網(wǎng)站p（1 1）依次選擇）依次選擇“控制面板控制面板”/ /“管理工具管理工具”/ /“IISIIS管理器管理器”，打開，打開IISIIS管理器。管理器。p（2 2）右擊默認網(wǎng)站，選擇）右擊默認網(wǎng)站，選擇“屬性屬性”，再選擇，再選擇“目錄安全性目錄安全性”選項卡。如圖選項卡。如圖9.449.44所所示。單擊示。單擊“服務(wù)器證書服務(wù)器證書”按鈕，打開按鈕，打開WebWeb服務(wù)器

30、證書向?qū)В鐖D服務(wù)器證書向?qū)?，如圖9.459.45所示。所示。處理掛起的請求處理掛起的請求（3 3）單擊）單擊“下一步下一步”按鈕，打開按鈕，打開“掛起的證書請求掛起的證書請求” 窗窗口，如圖口，如圖9.469.46所示。所示。（4 4）選擇）選擇“處理掛起的請求并安裝證書處理掛起的請求并安裝證書”，然后單擊，然后單擊“下一步下一步”按鈕，打開按鈕，打開“處理掛起的請求處理掛起的請求” 窗口，如圖窗口，如圖9.479.47所示。所示。程序的運行結(jié)果程序的運行結(jié)果（5 5）選擇前面申請到的證書文件）選擇前面申請到的證書文件c:certnew.cerc:certnew.cer，然后單擊，然后單擊“

31、下一步下一步”按鈕，打按鈕，打開開“為網(wǎng)站指定為網(wǎng)站指定SSLSSL端口端口”窗口。保持默認的窗口。保持默認的443443端口即可。端口即可。(6(6）單擊）單擊“下一步下一步”按鈕，打開按鈕，打開“證書摘要證書摘要”窗窗口?？梢圆榭醋C書的摘要信息。單擊口?？梢圆榭醋C書的摘要信息。單擊“下一步下一步”按鈕，完成將證書綁定到網(wǎng)站的操作。按鈕，完成將證書綁定到網(wǎng)站的操作。7啟用網(wǎng)站的啟用網(wǎng)站的HTTPS打開打開IISIIS管理器，右擊默認網(wǎng)站，選擇管理器，右擊默認網(wǎng)站，選擇“屬性屬性”，再選擇，再選擇“目錄安全性目錄安全性”選項卡。然后單擊選項卡。然后單擊“編編輯輯”按鈕，打開按鈕，打開“安全通信

32、安全通信”對話框?qū)υ捒?通過通過HTTP方式已經(jīng)不能正常訪問方式已經(jīng)不能正常訪問HTTPS網(wǎng)站網(wǎng)站訪問訪問HTTPS網(wǎng)站網(wǎng)站p 在創(chuàng)建請求證書文件時曾指定站點公用名稱，此時可以通過下面在創(chuàng)建請求證書文件時曾指定站點公用名稱，此時可以通過下面的的urlurl訪問訪問HTTPSHTTPS網(wǎng)站。網(wǎng)站。https:/https:/站點公用名稱站點公用名稱p 地址欄后面有一個小鎖頭圖標表示該站點已經(jīng)啟用地址欄后面有一個小鎖頭圖標表示該站點已經(jīng)啟用HTTPSHTTPS9.3 OpenSSL 編程基礎(chǔ)編程基礎(chǔ)9.3.1 OpenSSL9.3.1 OpenSSL概況概況9.3.2 9.3.2 需要包含的頭文件

33、需要包含的頭文件9.3.3 9.3.3 需要引用的庫文件需要引用的庫文件9.3.4 9.3.4 初始化初始化OpenSSLOpenSSL9.3.5 9.3.5 創(chuàng)建創(chuàng)建SSLSSL會話連接所使用的協(xié)議會話連接所使用的協(xié)議9.3.6 9.3.6 加載和使用證書加載和使用證書9.3.7 SSL9.3.7 SSL套接字套接字9.3.8 OpenSSL9.3.8 OpenSSL握手握手9.3.9 9.3.9 通訊結(jié)束通訊結(jié)束9.3.1 OpenSSL概況概況pOpenSSLOpenSSL是是一個強大的、開源的安全套接字層密一個強大的、開源的安全套接字層密碼庫，它支持碼庫，它支持SSL v2/v3SSL

34、 v2/v3和和TLSTLS（Transport Layer SecurityTransport Layer Security，安全傳輸，安全傳輸層協(xié)議）層協(xié)議） v1 v1。pOpenSSLOpenSSL基于基于Eric A. YoungEric A. Young和和Tim J. Tim J. HudsonHudson開發(fā)的開發(fā)的SSLeaySSLeay庫。庫。OpenSSLOpenSSL工具集工具集遵循遵循ApacheApache風格的許可協(xié)議。也就是說風格的許可協(xié)議。也就是說，用戶可以免費獲得、并將其應(yīng)用于商，用戶可以免費獲得、并將其應(yīng)用于商業(yè)或非商業(yè)應(yīng)用中。業(yè)或非商業(yè)應(yīng)用中。1下載和安

35、裝下載和安裝OpenSSL for Windowshttp:/ *.h.h文文件）。件）。pliblib，包含，包含OpenSSLOpenSSL的庫文件（的庫文件（* *.lib.lib文件文件）。）。2在在VC+項目中引用項目中引用OpenSSLp 首先在首先在Visual Studio 2012Visual Studio 2012中選擇中選擇“文件文件”/ /“新建新建”/ /“項目項目”，打開，打開“新建項目新建項目”對話框。在左側(cè)列表中依次選擇對話框。在左側(cè)列表中依次選擇“模板模板”/ /“其他語言其他語言”/ /“Visual C+Visual C+”，在項目類型列表中選擇，在項目類

36、型列表中選擇“Win32Win32控控制臺應(yīng)用程序制臺應(yīng)用程序”，項目名輸入，項目名輸入OpenSslServerOpenSslServer，單擊，單擊“確定確定”按鈕按鈕創(chuàng)建項目。創(chuàng)建項目。p 在菜單中選擇在菜單中選擇“項目項目”/ /“OpenSslServerOpenSslServer屬性屬性”，打開項目屬性，打開項目屬性對話框。在左側(cè)列表中選中對話框。在左側(cè)列表中選中“配置屬性配置屬性”/ /“VC+VC+目錄目錄”，在，在“包包含目錄含目錄”中增加中增加C:OpenSSL-Win32include;C:OpenSSL-Win32include;，在，在“引用目錄引用目錄”中中增加增加

37、C:OpenSSL-Win32lib;C:OpenSSL-Win32lib;，在，在“庫目錄庫目錄”中增加中增加C:OpenSSL-C:OpenSSL-Win32lib;Win32lib;配置配置VC+目錄目錄9.3.2 需要包含的頭文件需要包含的頭文件p 要開發(fā)要開發(fā)OpenSSLOpenSSL應(yīng)用程序，通常需要包含如下的頭文件應(yīng)用程序，通常需要包含如下的頭文件#include openssl/ssl.h#include openssl/ssl.h#include openssl/x509.h#include openssl/x509.h#include openssl/rand.h#inc

38、lude openssl/rand.h#include openssl/err.h#include openssl/err.h9.3.3 需要引用的庫文件需要引用的庫文件p要開發(fā)要開發(fā)OpenSSLOpenSSL應(yīng)用程序，通常需要使用下面應(yīng)用程序，通常需要使用下面的語法引用庫文件的語法引用庫文件#pragma comment( lib, libeay32.lib )#pragma comment( lib, libeay32.lib )#pragma comment( lib, ssleay32.lib )#pragma comment( lib, ssleay32.lib )#pragma

39、comment (lib,WS2_32.lib)#pragma comment (lib,WS2_32.lib)plibeay32.liblibeay32.lib和和ssleay32.libssleay32.lib保存在保存在C:OpenSSL-Win32libC:OpenSSL-Win32lib目錄下。目錄下。WS2_32.libWS2_32.lib一一般由操作系統(tǒng)自帶。般由操作系統(tǒng)自帶。9.3.4 初始化初始化OpenSSLp1 1SSL_library_init()SSL_library_init()p2 2OpenSSL_add_all_algorithms()OpenSSL_add_

40、all_algorithms()p3 3SSL_load_error_strings ()SSL_load_error_strings ()9.3.5 創(chuàng)建創(chuàng)建SSL會話連接所使用的協(xié)議會話連接所使用的協(xié)議服務(wù)器程序可以使用下面的語句指定服務(wù)器程序可以使用下面的語句指定SSLSSL會話所使用的協(xié)議：會話所使用的協(xié)議： SSL_METHOD SSL_METHOD * *TLSv1_server_method(void); /TLSv1_server_method(void); /使用使用TLSv1.0TLSv1.0協(xié)協(xié)議議 SSL_METHOD SSL_METHOD * *SSLv2_serve

41、r_method(void); /SSLv2_server_method(void); /使用使用SSLv2SSLv2協(xié)議協(xié)議 SSL_METHOD SSL_METHOD * *SSLv3_server_method(void); /SSLv3_server_method(void); /使用使用SSLv3SSLv3協(xié)議協(xié)議 SSL_METHOD SSL_METHOD * *SSLv23_server_method(void); /SSLv23_server_method(void); /使用使用SSLv2/3SSLv2/3協(xié)協(xié)議議客戶端程序可以使用下面的語句指定客戶端程序可以使用下面的語句指

42、定SSLSSL會話所使用的協(xié)議：會話所使用的協(xié)議： SSL_METHOD SSL_METHOD* * TLSv1_client_method(void); / TLSv1_client_method(void); /使用使用TLSv1.0 TLSv1.0 協(xié)協(xié)議議 SSL_METHOD SSL_METHOD* * SSLv2_client_method(void); / SSLv2_client_method(void); /使用使用SSLv2 SSLv2 協(xié)議協(xié)議 SSL_METHOD SSL_METHOD* * SSLv3_client_method(void); / SSLv3_clie

43、nt_method(void); /使用使用SSLv3 SSLv3 協(xié)議協(xié)議 SSL_METHOD SSL_METHOD* * SSLv23_client_method(void); / SSLv23_client_method(void); /使用使用SSLv2/v3 SSLv2/v3 協(xié)議協(xié)議9.3.6 加載和使用證書加載和使用證書1 1設(shè)置證書驗證的方式設(shè)置證書驗證的方式2 2加載證書加載證書3 3加載私鑰文件加載私鑰文件1設(shè)置證書驗證的方式設(shè)置證書驗證的方式p可以調(diào)用可以調(diào)用SSL_CTX_set_verify()SSL_CTX_set_verify()函數(shù)設(shè)函數(shù)設(shè)置證書驗證的方式，函

44、數(shù)原型如下：置證書驗證的方式，函數(shù)原型如下：Void SSL_CTX_set_verify(SSL_CTX Void SSL_CTX_set_verify(SSL_CTX * *ctx, ctx, int mode, int (int mode, int (* *verify_callback)(int,verify_callback)(int,X509_STORE_CTX X509_STORE_CTX * *););2加載證書加載證書int int SSL_CTX_load_verify_locations(SSL_CSSL_CTX_load_verify_locations(SSL_CTX

45、 TX * *ctx, const char ctx, const char * *CAfile,CAfile, const char const char * *CApath);CApath);int int SSL_CTX_use_certificate_file(SSL_CTX SSL_CTX_use_certificate_file(SSL_CTX * *ctx, const char ctx, const char * *file, int type);file, int type);3加載私鑰文件加載私鑰文件int int SSL_CTX_use_PrivateKey_file(S

46、SL_CTSSL_CTX_use_PrivateKey_file(SSL_CTX X * *ctx, const char ctx, const char * *file, int type);file, int type);int int SSL_CTX_check_private_key(SSL_CTX SSL_CTX_check_private_key(SSL_CTX * *ctx)ctx)9.3.7 SSL套接字套接字p1 1SSL_new()SSL_new()p2 2SSL_set_rfd ()SSL_set_rfd ()1SSL_new()pSSL_new()SSL_new()函數(shù)

47、用于申請一個函數(shù)用于申請一個SSL SSL 套接字套接字，函數(shù)原型如下：，函數(shù)原型如下：SSL SSL * *SSL_new(SSL_CTX SSL_new(SSL_CTX * *ctx);ctx);p參數(shù)參數(shù)ctxctx指定當前的指定當前的SSLSSL連接環(huán)境（連接環(huán)境（CTXCTX）指針。指針。p如果操作成功則返回指向分配的如果操作成功則返回指向分配的SSLSSL結(jié)構(gòu)結(jié)構(gòu)體的指針；否則返回體的指針；否則返回NULLNULL?？梢詫⒎峙??？梢詫⒎峙涞牡腟SLSSL結(jié)構(gòu)體綁定到一個套接字，從而得結(jié)構(gòu)體綁定到一個套接字，從而得到到SSLSSL套接字。具體方法將在稍后介紹。套接字。具體方法將在稍后

48、介紹。2SSL_set_rfd ()pSSL_set_rfd ()SSL_set_rfd ()函數(shù)用于綁定只讀套接函數(shù)用于綁定只讀套接字，函數(shù)原型如下：字，函數(shù)原型如下：int SSL_set_rfd(SSL int SSL_set_rfd(SSL * *ssl, int fd);ssl, int fd);參數(shù)說明如下：參數(shù)說明如下： ssl ssl，SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指針。 fd fd，綁定到，綁定到sslssl的只讀套接字句柄。的只讀套接字句柄。如果操作成功則返回如果操作成功則返回1 1；否則返回；否則返回0 0。9.3.8 OpenSSL握手握手1 1SSL_connect(

49、)SSL_connect()2 2SSL_read()SSL_read()3 3SSL_write()SSL_write()4 4SSL_accept ()SSL_accept ()1SSL_connect()SSL_connect()SSL_connect()函數(shù)用于初始化與函數(shù)用于初始化與TLS/SSLTLS/SSL服務(wù)器的握手過程，也就是建立于服務(wù)器的握手過程，也就是建立于TLS/SSLTLS/SSL服務(wù)器的連接。服務(wù)器的連接。SSL_connect()SSL_connect()函數(shù)用于替函數(shù)用于替代傳統(tǒng)的代傳統(tǒng)的connect()connect()函數(shù)。函數(shù)原型如下：函數(shù)。函數(shù)原型如下

50、：int SSL_connect(SSL int SSL_connect(SSL * *ssl);ssl);參數(shù)參數(shù)sslssl為為SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指針。如果操作成功則返回如果操作成功則返回1 1；如果握手失敗，但；如果握手失敗，但是根據(jù)是根據(jù)TLS/SSLTLS/SSL協(xié)議關(guān)閉了協(xié)議關(guān)閉了SocketSocket，則返回，則返回0 0。如果握手失敗，但是并沒有關(guān)閉。如果握手失敗，但是并沒有關(guān)閉SocketSocket，則返回小于，則返回小于0 0的值。的值。2SSL_read()SSL_read()SSL_read()函數(shù)用于從函數(shù)用于從TLS/SSLTLS/SSL連接讀取字連

51、接讀取字節(jié)。節(jié)。SSL_read()SSL_read()函數(shù)用于替代傳統(tǒng)的函數(shù)用于替代傳統(tǒng)的read()read()函數(shù)。函數(shù)原型如下：函數(shù)。函數(shù)原型如下：int SSL_read(SSL int SSL_read(SSL * *ssl, void ssl, void * *buf, int buf, int num);num);參數(shù)說明如下：參數(shù)說明如下： ssl ssl，SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指針。 buf buf，用于接收數(shù)據(jù)的緩存區(qū)指針。，用于接收數(shù)據(jù)的緩存區(qū)指針。 num num，指定讀取的字節(jié)數(shù)。，指定讀取的字節(jié)數(shù)。如果操作成功則返回讀取的字節(jié)數(shù)。如果操作成功則返回讀取的字

52、節(jié)數(shù)。3SSL_write()pSSL_write ()SSL_write ()函數(shù)用于向函數(shù)用于向TLS/SSLTLS/SSL連接寫連接寫入字節(jié)。入字節(jié)。SSL_write ()SSL_write ()函數(shù)用于替代傳函數(shù)用于替代傳統(tǒng)的統(tǒng)的write ()write ()函數(shù)。函數(shù)原型如下：函數(shù)。函數(shù)原型如下：pint SSL_write(SSL int SSL_write(SSL * *ssl, const void ssl, const void * *buf, buf, int num);int num);p參數(shù)說明如下：參數(shù)說明如下：p ssl ssl，SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指

53、針。p buf buf，發(fā)送數(shù)據(jù)的緩存區(qū)指針。，發(fā)送數(shù)據(jù)的緩存區(qū)指針。p num num，指定發(fā)送的字節(jié)數(shù)。，指定發(fā)送的字節(jié)數(shù)。p如果操作成功則返回讀取的字節(jié)數(shù)。如果操作成功則返回讀取的字節(jié)數(shù)。4SSL_accept ()pSSL_acceptSSL_accept函數(shù)由服務(wù)器程序調(diào)用用于函數(shù)由服務(wù)器程序調(diào)用用于等待客戶端連接。等待客戶端連接。SSL_accept ()SSL_accept ()函數(shù)用函數(shù)用于替代傳統(tǒng)的于替代傳統(tǒng)的accept()accept()函數(shù)。函數(shù)原型函數(shù)。函數(shù)原型如下：如下：int SSL_accept(SSL int SSL_accept(SSL * *ssl);ss

54、l);p參數(shù)參數(shù)sslssl是是SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指針。pSSL_accept()SSL_accept()函數(shù)依賴底層的函數(shù)依賴底層的BIOBIO結(jié)構(gòu)。結(jié)構(gòu)。BIOBIO是抽象的是抽象的IOIO接口，是覆蓋了許多類型接口，是覆蓋了許多類型I/OI/O接口細節(jié)的一種應(yīng)用接口。接口細節(jié)的一種應(yīng)用接口。9.3.9 通訊結(jié)束通訊結(jié)束1 1SSL_shutdown ()SSL_shutdown ()2 2SSL_free ()SSL_free ()3 3SSL_CTX_free ()SSL_CTX_free ()1SSL_shutdown ()pSSL_shutdown()SSL_shutd

55、own()函數(shù)用于關(guān)閉一個函數(shù)用于關(guān)閉一個TLS/SSLTLS/SSL連接。函數(shù)原型如下：連接。函數(shù)原型如下：int SSL_shutdown(SSL int SSL_shutdown(SSL * *ssl); ssl); p參數(shù)參數(shù)sslssl是要關(guān)閉的是要關(guān)閉的SSLSSL結(jié)構(gòu)體指針。結(jié)構(gòu)體指針。p如果操作成功，則如果操作成功，則SSL_ shutdown()SSL_ shutdown()返回返回1 1。2SSL_free ()pSSL_shutdown()SSL_shutdown()函數(shù)用于釋放函數(shù)用于釋放SSLSSL套接字套接字。函數(shù)原型如下：。函數(shù)原型如下：void SSL_free

56、(SSL void SSL_free(SSL * *ssl);ssl);p參數(shù)參數(shù)sslssl是要釋放的是要釋放的SSLSSL套接字。套接字。3SSL_CTX_free ()pSSL_shutdown()SSL_shutdown()函數(shù)用于釋放函數(shù)用于釋放SSLSSL環(huán)境。環(huán)境。函數(shù)原型如下：函數(shù)原型如下：void SSL_free(SSL void SSL_free(SSL * *ssl);ssl);p參數(shù)參數(shù)sslssl是要釋放的是要釋放的SSLSSL環(huán)境。環(huán)境。9.4 OpenSSL 編程實例編程實例p9.4.1 9.4.1 制作制作SSLSSL證書證書p9.4.2 9.4.2 開發(fā)基于

57、開發(fā)基于OpenSSLOpenSSL的服務(wù)器程序的服務(wù)器程序p9.4.3 9.4.3 開發(fā)基于開發(fā)基于OpenSSLOpenSSL的客戶端程序的客戶端程序9.4.1 制作制作SSL證書證書1 1生成服務(wù)器端的私鑰文件生成服務(wù)器端的私鑰文件2 2生成服務(wù)器端的生成服務(wù)器端的CSRCSR文件文件3 3生成生成CACA證書證書4 4生成客戶端的私鑰文件生成客戶端的私鑰文件5 5生成客戶端的生成客戶端的CSRCSR文件文件6 6生成服務(wù)器端證書文件生成服務(wù)器端證書文件7 7生成客戶端證書文件生成客戶端證書文件1生成服務(wù)器端的私鑰文件生成服務(wù)器端的私鑰文件使用使用openssl genrsaopenss

58、l genrsa命令可以生成命令可以生成rsarsa私鑰文件私鑰文件。這里執(zhí)行下面的命令：。這里執(zhí)行下面的命令：opensslgenrsa-des3-outserver.key1024opensslgenrsa-des3-outserver.key1024參數(shù)參數(shù)-des3-des3指定使用指定使用DESDES算法進行加密；參數(shù)算法進行加密；參數(shù)-out-out指定輸出生成的私鑰文件是指定輸出生成的私鑰文件是server.keyserver.key。密鑰長。密鑰長度是度是1024bit1024bit。執(zhí)行命令后首先需要輸入并確認私鑰文件文件的執(zhí)行命令后首先需要輸入并確認私鑰文件文件的密碼，這里

59、假定為密碼，這里假定為123456123456。以后在使用到私鑰文。以后在使用到私鑰文件件server.keyserver.key時需要使用該密碼。時需要使用該密碼。2生成服務(wù)器端的生成服務(wù)器端的CSR文件文件使用使用openssl reqopenssl req命令可以生成證書請求，以讓命令可以生成證書請求，以讓CACA來簽發(fā)來簽發(fā)、生成我們需要的證書。這里執(zhí)行下面的命令：、生成我們需要的證書。這里執(zhí)行下面的命令：opensslreq-new-keyserver.key-outserver.csr-opensslreq-new-keyserver.key-outserver.csr-confi

60、gopenssl.cfgconfigopenssl.cfg參數(shù)參數(shù)-new-new生成一個新的證書請求，并提示用戶輸入個人信生成一個新的證書請求，并提示用戶輸入個人信息；參數(shù)息；參數(shù)-key-key指定使用的私鑰文件；參數(shù)指定使用的私鑰文件；參數(shù)-out-out指定輸出生指定輸出生成的成的CSRCSR文件是文件是server.csrserver.csr。-config-config指定使用的配置文件指定使用的配置文件。在有些版本的。在有些版本的OpenSSLOpenSSL中，配置文件為中，配置文件為f 。執(zhí)行命令后首先需要輸入私鑰文件執(zhí)行命令后首先需要輸入私鑰文件server.keyserve