这里的每一件事都跟客户机程序的认证过程有关。基本上来说,我们需要告知s_client.exe应用程序,它需要在文件里找这些它应该信任的这些证书。这个可以通过使用-CAFile来达到目的。停止运行s_client.exe应用程序,而让s_server.exe应用程序保持运行。
十三、创建CAfile(Creating a CAfile)
一个CAFile文件创建起来比较简单,它由一些相互关联的公开证书组成。创建一个CAFile,从我的电脑中进入C:\\openssl-0.9.7e\\out32dll\\release目录,在空白处点右键,新建->文本文档,这样会新建一个文本文档,可以把这个文件的名字改为root.pem。这样,你的release目录将会如下所示:
用editplus或者word文档来打开root.pem文档。你可以看到一个空白文档。然后用同样的方法打开signedcert.crt文件并且选择所有的内容,并把它复制到root.pem文件中。保存后退出。
这样你就成功地创建了CAfile。如果你还没有关闭s_client.exe。这时你可以把它关闭掉了。然后再输入如下语句:
C:\\openssl-0.9.7e\\out32dll\\release>s_client –cert signedcert.crt –key cert.key –CAfile root.pem 结果为:
如果一切运行正常,你会看到这样的错误!“Unable to verify the first certificate”不是你所要期昐的,但是我们只是复制了这个获得认证签名的证书,我们还必须复制这个CA证书(ca.crt)。关闭掉s_client.exe应用程序并且复制ca.crt证书内部的数据到root.pem文件内容的下面,复制的方法可以跟复制signedcert.crt文件的内容类似,复制完成后保存退出。这时root.pem文件应该看起来与下面的内容类似:
-----BEGIN CERTIFICATE-----
MIIEkzCCA3ugAwIBAgIBATANBgkqhkiG9w0BAQQFADCBhTELMAkGA1UEBhMCQ0gx EDAOBgNVBAgTB0d1aVpob3UxEDAOBgNVBAcTB0d1aVlhbmcxDDAKBgNVBAoTA0pM UzEMMAoGA1UECxMDSkxTMQwwCgYDVQQDEwNZRlkxKDAmBgkqhkiG9w0BCQEWGXl1 YW5mZWl5YW4xOTgzMTBAc29odS5jb20wHhcNMDcwNTA3MDU1MDEzWhcNMDgwNTA2 MDU1MDEzWjB3MQswCQYDVQQGEwJDSDERMA8GA1UECBMIU2hhbkRvbmcxDjAMBgNV BAcTBUxpbllpMQwwCgYDVQQKEwM1MDQxDDAKBgNVBAsTAzUwNDEMMAoGA1UEAxMD Rk1NMRswGQYJKoZIhvcNAQkBFgxmbW1Ac2luYS5jb20wggEiMA0GCSqGSIb3DQEB AQUAA4IBDwAwggEKAoIBAQC8rQWPSmi2JAwyQ+3VBNUAI0NmXw+oxlEXPsApki5z tQUhjLtCOv0C+B4o2NscmgemEd3wRBc1k4SiqfnKHLB+1pZl5rxM3ntskvw3sZRz
2CCqI6wsg7BLPKbLPMBBMQpWobpC8vneZJlrWC1wKWoMb1bWKhCQ3AIjS3P+zT0W F76Z8ww9UESDbAyhIqw/IsYJsJhoasGJnOtGWmkubdyPIZ9DZFAFw96woXEMK5ZN L7VkYhwdDpxxdR/rvzXnBEX/FRTvQFA6oYtmf+BmmRlzSlxjZmtvjsOLT5EPoggg 5O6PYf38hAIyDFSj8vNG07maxIY0S0MXcptn5qQUsjPBAgMBAAGjggEZMIIBFTAJ
BgNVHRMEAjAAMCwGCWCGSAGG+EIBDQQfFh1PcGVuU1NMIEdlbmVyYXRlZCBDZXJ0 aWZpY2F0ZTAdBgNVHQ4EFgQURjrBtQF0lVlZ4BgxKjh6datkbBUwgboGA1UdIwSB sjCBr4AUW7/yqoR/QCIgnLMAPyxVZkOzZV6hgYukgYgwgYUxCzAJBgNVBAYTAkNI
MRAwDgYDVQQIEwdHdWlaaG91MRAwDgYDVQQHEwdHdWlZYW5nMQwwCgYDVQQKEwNK TFMxDDAKBgNVBAsTA0pMUzEMMAoGA1UEAxMDWUZZMSgwJgYJKoZIhvcNAQkBFhl5 dWFuZmVpeWFuMTk4MzEwQHNvaHUuY29tggkA05vCMCZrAgQwDQYJKoZIhvcNAQEE BQADggEBADrfenn9uqILzFmNPoIcaIIuZS7SBKK3yGA4f4q2gOXdeu2IMAyGXFeL Jtt4lSNg21BgUjQLe8J6vF74U2FnEcicAZ1dRzy8vyAwgknylf78sSVi3nPaePBx
Km9rprEfrF8AQyUBVqZafZbL7eHrMNxx9HRHYacuGLMBgimR6DyZ72ZjsHxPWh27 K/BtVAja8dC8nyWCRivDX7D4DNlot8wqlz0uqO2KX3Uy4Q624QHl5P0LmR2IH9Uc
Ql+9eB3F9+3auguqWgyf5jBlR8coFnrgd47NNmoHI0e9AbS/iE/jvGgBRNnf4+R/ Hs3hmTPqRvkUr5VHgA7KzlJWPpBXkbY= -----END CERTIFICATE----- -----BEGIN CERTIFICATE-----
MIIEfTCCA2WgAwIBAgIJANObwjAmawIEMA0GCSqGSIb3DQEBBAUAMIGFMQswCQYD VQQGEwJDSDEQMA4GA1UECBMHR3VpWmhvdTEQMA4GA1UEBxMHR3VpWWFuZzEMMAoG A1UEChMDSkxTMQwwCgYDVQQLEwNKTFMxDDAKBgNVBAMTA1lGWTEoMCYGCSqGSIb3 DQEJARYZeXVhbmZlaXlhbjE5ODMxMEBzb2h1LmNvbTAeFw0wNzA1MDcwNTM2NTRa Fw0xNzA1MDQwNTM2NTRaMIGFMQswCQYDVQQGEwJDSDEQMA4GA1UECBMHR3VpWmhv dTEQMA4GA1UEBxMHR3VpWWFuZzEMMAoGA1UEChMDSkxTMQwwCgYDVQQLEwNKTFMx DDAKBgNVBAMTA1lGWTEoMCYGCSqGSIb3DQEJARYZeXVhbmZlaXlhbjE5ODMxMEBz b2h1LmNvbTCCASIwDQYJKoZIhvcNAQEBBQADggEPADCCAQoCggEBAKsM1gmyyYKn RB5befH1QvlwWf8TAGRrct+3p1Ax+ibA2garkOFgzD/yrUVDmX53gpdyZbQPX7GI y9w5CUAU4c84He6jSCEe7/2o5RL1+LbXYQ51Rrd+IB+a2w3rpShdVf45A4jo2pCc n2ijc+1X0JIG9mqNfH6dmFnhNs17SXVQOcxEbWyoQgDztCBuoUa4kaOY98ywU37E JMwC/mLPSlrO9GIeK51/bX/e/PUb2hrVHuOFpuNu2G+gK56OQlqdh+Z1I2MN3kjF HCpCz+Pyt0WI3x41i8HxHE1EAlF2cxasZNBju6CCzAYLIJnct1mWIzpcYJZw/Wq/ ew2UUGRUeacCAwEAAaOB7TCB6jAdBgNVHQ4EFgQUW7/yqoR/QCIgnLMAPyxVZkOz ZV4wgboGA1UdIwSBsjCBr4AUW7/yqoR/QCIgnLMAPyxVZkOzZV6hgYukgYgwgYUx CzAJBgNVBAYTAkNIMRAwDgYDVQQIEwdHdWlaaG91MRAwDgYDVQQHEwdHdWlZYW5n MQwwCgYDVQQKEwNKTFMxDDAKBgNVBAsTA0pMUzEMMAoGA1UEAxMDWUZZMSgwJgYJ KoZIhvcNAQkBFhl5dWFuZmVpeWFuMTk4MzEwQHNvaHUuY29tggkA05vCMCZrAgQw DAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQQFAAOCAQEAB37L+atq3EviMGzZRsJe c7ybGQ27xKlPqlIYCzHjsejQ6VJ/ORvnQ7aQkS4JJf86BW3pw1hpO+P0Po5ZLmVl Pc/Cg04nRCx9+D+kUhHej6Amg2JjMVQoy5YNoGhN5VbGzqU9QjVixxty8h/BNgZ6 J6USwc+YV22qTdDHpbFNXTTL0cJHR6J5jGaTRFDnjDmF0L7NIosSleW/e+oIH3lf r1KCQl2ZnvHxXjXXCmge5Ifv0dSHrW3GH4L6hXFYbW6+GYUqSDu3wK1cUB8t/6Xm XiyYUaebx/C0hjCxQYHHCP3FZIYIpgEU9NVCXSdItKGgq3ECa/njCRAv3gorJk4w KQ==
-----END CERTIFICATE-----
这时你可以进入MS-DOS窗口中,输入刚才输入的语句并按回车键: C:\\openssl-0.9.7e\\out32dll\\release>s_client –cert signedcert.crt –key cert.key –CAfile root.pem
则会看到如下显示:
可以注意到:“Verify return code:0(ok)”是对客户机程序认证的返。这就是我们从最开始时所想要得到的。但是我们在root.pem中需要cert.crt证书的内容吗?回答是否定的,一旦你把最高级别的证书安装到CAFile(root.pem),这个客户机程序将会返回“OK”。