怎么申请一个IP https证书？

使用IP申请SSL证书与使用域名申请存在部分差异，具体申请步骤如下：

1、选择相应的SSL证书服务商，如安信SSL证书，在其网站SSL证书产品页面上选择适合自己的SSL证书;

2、生成CSR文件

用户可以在网站上在线生成CSR文件，只需要根据要求填写相关信息，然后点击生成CSR，生成后请将CSR文件保存好并发送给服务商;

3、服务商会协助在后台填写申请IP SSL证书的相关信息，完成后即成功申请IP SSL证书，最后将SSL证书安装到网站上就可以进行使用。

CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。

CA证书就是电子商务认证授权机构，也称为电子商务认证中心，是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任，一般也称为SSL证书。具体的申请流程如下：

第一步，生成并提交CSR（证书签署请求）文件

CSR文件一般都可以通过在线生成（或服务器上生成），申请人在制作的同时系统会产生两个秘钥，公钥CSR和密钥KEY。选择了SSL证书申请之后，提交订单并将制作生成的CSR文件一起提交到证书所在的CA颁发机构。

第二步，CA机构进行验证

CA机构对提交的SSL证书申请有两种验证方式：

第一种是域名认证。系统自动会发送验证邮件到域名的管理员邮箱（这个邮箱是通过WHOIS信息查询到的域名联系人邮箱）。管理员在收到邮件之后，确认无误后点击我确认完成邮件验证。所有型号的SSL证书都必须进行域名认证。

第二种是企业相关信息认证。对于SSL证书申请的是OV SSL证书或者EV SSL证书的企业来说，除了域名认证，还得进行人工核实企业相关资料和信息，确保企业的真实性。

第三步，CA机构颁发证书

由于SSL证书申请的型号不同，所验证的材料和方式有些区别，所以颁发时间也是不同的。

如果申请的是DV SSL证书最快10分钟左右就能颁发。如果申请的是OV SSL证书或者EV SSL证书，一般3-7个工作日就能颁发。

创建根证书密钥文件(自己做CA)rootkey：

创建根证书的申请文件rootcsr：

创建一个自当前日期起为期十年的根证书rootcrt：

创建服务器证书密钥serverkey：

创建服务器证书的申请文件servercsr

创建自当前日期起有效期为期两年的服务器证书servercrt

创建客户端证书密钥文件clientkey

创建客户端证书的申请文件clientcsr

创建一个自当前日期起有效期为两年的客户端证书clientcrt

将客户端证书文件clientcrt和客户端证书密钥文件clientkey合并成客户端证书安装包clientpfx

保存生成的文件备用，其中servercrt和serverkey是配置单向SSL时需要使用的证书文件，clientcrt是配置双向SSL时需要使用的证书文件，clientpfx是配置双向SSL时需要客户端安装的证书文件 crt文件和key可以合到一个文件里面，把2个文件合成了一个pem文件（直接拷贝过去就行了）

x509证书一般会用到三类文，key，csr，crt。

Key是私用密钥openssl格，通常是rsa算法。

Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。

crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。 

1key的生成 

opensslgenrsa -des3 -out serverkey 2048 

这样是生成rsa私钥，des3算法，openssl格式，2048位强度。serverkey是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:

opensslrsa -in serverkey -out serverkey 

serverkey就是没有密码的版本了。 

2生成CA的crt

opensslreq -new -x509 -key serverkey -out cacrt -days3650 

生成的cacrt文件是用来签署下面的servercsr文件。 

3csr的生成方法

opensslreq -new -key serverkey -outservercsr 

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。 

4crt生成方法

CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。

opensslx509 -req -days 3650 -in servercsr -CA cacrt -CAkey serverkey-CAcreateserial -out servercrt

输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

最后生成了私用密钥：serverkey和自己认证的SSL证书：servercrt

证书合并：

catserverkey servercrt > serverpem

TLS：传输层安全协议 Transport Layer Security的缩写

SSL：安全套接字层 Secure Socket Layer的缩写

TLS：与SSL对于不是专业搞安全的开发人员来讲，可以认为是差不多的，这二者是并列关系

KEY：通常指私钥。

CSR：是Certificate Signing Request的缩写，即证书签名请求，这不是证书，可以简单理解成公钥，生成证书时要把这个提交给权威的证书颁发机构。

CRT：即 certificate的缩写，即证书。

X509：是一种证书格式，对X509证书来说，认证者总是CA或由CA指定的人，一份X509证书是一些标准字段的集合，这些字段包含有关用户或设备及其相应公钥的信息。X509的证书文件，一般以crt结尾，根据该文件的内容编码格式，可以分为以下二种格式：

PEM - Privacy Enhanced Mail，打开看文本格式，以"-----BEGIN"开头, "-----END"结尾,内容是BASE64编码，Apache和NIX服务器偏向于使用这种编码格式。

DER - Distinguished Encoding Rules，打开看是二进制格式，不可读，Java和Windows服务器偏向于使用这种编码格式。

OpenSSL 相当于SSL的一个实现，如果把SSL规范看成OO中的接口，那么OpenSSL则认为是接口的实现。接口规范本身是安全没问题的，但是具体实现可能会有不完善的地方，比如之前的"心脏出血"漏洞，就是OpenSSL中的一个bug。