弹性负载均衡 ELB-HTTPS双向认证:使用CA证书签发客户端证书

时间：2024-04-24 09:10:47

弹性负载均衡 ELB

使用CA证书签发客户端证书

登录到生成CA证书的服务器。
创建与CA平级的目录，并进入该目录。
mkdir client

cd client

创建客户端证书的openssl配置文件client_cert.conf，内容如下：

[ req ]
distinguished_name     = req_distinguished_name
prompt                 = no
 
[ req_distinguished_name ]
 O                      = ELB
 CN                     = www.test.com

CN字段可以根据需求改为对应的域名、IP地址。

创建客户端证书私钥文件client.key。
openssl genrsa -out client.key 2048

图4 创建客户端证书私钥文件
创建客户端证书的csr请求文件client.csr。
openssl req -out client.csr -key client.key -new -config ./client_cert.conf

图5 创建客户端证书csr文件
使用CA证书签发客户端证书client.crt。
openssl x509 -req -in client.csr -out client.crt -sha1 -CAcreateserial -days 5000 -CA ../ca/ca.crt -CAkey ../ca/ca.key

图6 签发客户端证书
把客户端证书格式转为浏览器可识别的p12格式。
openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12

该命令执行时需要输入导出密码，请输入并记住该密码，在证书导入浏览器时需要使用。