GMSSL 的安装与使用 - 靑龍一笑的博客

当前位置：首页 > Linux

GMSSL 的安装与使用

来源：靑龍一笑的博客作者：靑龍一笑发布时间：2021-04-20 10:33:53 点击量：1298 评论：0

一、安装 GMSSL

[root@RicenOS softwares]# unzip GmSSL-master.zip
[root@RicenOS softwares]# cd GmSSL-master
[root@RicenOS GmSSL-master]# ./config --prefix=/usr/local/gmssl --openssldir=/usr/local/gmssl no-shared
[root@RicenOS GmSSL-master]# make
[root@RicenOS GmSSL-master]# make install
[root@RicenOS GmSSL-master]# ln -s /usr/local/gmssl/bin/gmssl /usr/bin/gmssl
[root@RicenOS GmSSL-master]# gmssl version
GmSSL 2.5.4 - OpenSSL 1.1.0d 19 Jun 2019

二、使用 GMSSL 生成自签名证书

1、创建 CA 密钥

[root@RicenOS certs]# gmssl ecparam -genkey -name sm2p256v1 -out cakey.key

2、创建 CA 证书请求

[root@RicenOS certs]# gmssl req -new -sm3 -key cakey.key -out cacsr.csr

以下输入国家：CN

Country Name (2 letter code) [CN]:CN

以下输入省份：FuJian

State or Province Name (full name) [Some-State]:FuJian

以下输入城市：XiaMen

Locality Name (eg, city) []:XiaMen

以下输入公司：RicenSoftwares,Inc.

Organization Name (eg, company) [Internet Widgits Pty Ltd]:RicenSoftwares,Inc.

以下输入部门：Technology Department

Organizational Unit Name (eg, section) []:Technology Department

以下输入姓名（一般填写域名）：ricensoftwares.com.cn

Common Name (e.g. server FQDN or YOUR name) []:ricensoftwares.com.cn

以下输入邮箱：C.S.Ricen@ricensoftwares.com.cn

Email Address []:C.S.Ricen@ricensoftwares.com.cn

以下两项可以不填：

A challenge password []:
An optional company name []:

3、生成 CA 自签名证书

[root@RicenOS certs]# gmssl req -x509 -sm3 -days 3650 -key cakey.key -in cacsr.csr -out cacert.crt

以下输入国家：CN

Country Name (2 letter code) [CN]:CN

以下输入省份：FuJian

State or Province Name (full name) [Some-State]:FuJian

以下输入城市：XiaMen

Locality Name (eg, city) []:XiaMen

以下输入公司：RicenSoftwares,Inc.

Organization Name (eg, company) [Internet Widgits Pty Ltd]:RicenSoftwares,Inc.

以下输入部门：Technology Department

Organizational Unit Name (eg, section) []:Technology Department

以下输入姓名（一般填写域名）：ricensoftwares.com.cn

Common Name (e.g. server FQDN or YOUR name) []:ricensoftwares.com.cn

以下输入邮箱：C.S.Ricen@ricensoftwares.com.cn

Email Address []:C.S.Ricen@ricensoftwares.com.cn

4、创建网站密钥

[root@RicenOS certs]# gmssl ecparam -genkey -name sm2p256v1 -out www.ricen.net.key

5、创建网站证书请求

[root@RicenOS certs]# gmssl req -new -sm3 -key www.ricen.net.key -out www.ricen.net.csr

以下输入国家：CN

Country Name (2 letter code) [CN]:CN

以下输入省份：FuJian

State or Province Name (full name) [Some-State]:FuJian

以下输入城市：XiaMen

Locality Name (eg, city) []:XiaMen

以下输入公司：ricen.net

Organization Name (eg, company) [Internet Widgits Pty Ltd]:ricen.net

以下输入部门：IT

Organizational Unit Name (eg, section) []:IT

以下输入姓名（一般填写域名）：www.ricen.net

Common Name (e.g. server FQDN or YOUR name) []:www.ricen.net

以下输入邮箱：C.S.Ricen@ricen.net

Email Address []:C.S.Ricen@ricen.net

以下两项可以不填：

A challenge password []:
An optional company name []:

6、签发网站证书

[root@RicenOS certs]# gmssl x509 -req -sm3 -days 3650 -CA cacert.crt -CAkey cakey.key -CAcreateserial -in www.ricen.net.csr -out www.ricen.net.crt

7、验证证书

[root@RicenOS certs]# gmssl verify -CAfile cacert.crt www.ricen.net.crt
www.ricen.net.crt: OK

三、nginx 上配置 GMSSL 证书

server {
listen 0.0.0.0:443 ssl;
server_name www.ricen.net;
access_log logs/www.ricen.net_access.log main;
error_log logs/www.ricen.net_error.log error;

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:AES128-SHA:DES-CBC3-SHA:ECC-SM4-CBC-SM3:ECDHE-SM4-CBC-SM3;
ssl_verify_client off;

ssl_certificate certs/cacert.crt;
ssl_certificate_key certs/cakey.key;

ssl_certificate_key certs/www.ricen.net.key;
ssl_certificate certs/www.ricen.net.crt;

location / {
root html;
index index.htm index.html;
}
}