openssl——自签名根证书、签名客户端和服务器证书

openssl genrsa -out rootkey 2048

也可以是pem文件，也可为了区分这是私钥而改用key后缀名，内容如下：

查看详细解析：包含两个大素数和两个指数和一个系数

openssl rsa -in rootkey -text

可通过命令提取公钥：

openssl rsa -pubout -in rootkey

openssl req -new -out root-reqcsr -key rootkey -keyform PEM

-keyform PEM：证书有pem和der格式之分，前者文本，多用于java和windows服务器，后者二进制

CSR是Certificate Signing Request的英文缩写，即证书请求文件

openssl x509 -req -in root-reqcsr -out root-certcer -signkey rootkey -CAcreateserial -days 365

-CAcreateserial ，创建证书序列号，使用此选项，当CA序列号文件不存在时将被创建：它将包含序列号“02”，正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在，则会出现错误。

-days 据说3650天有时候会意外导致证书验证失败，没遇到过

此处可有pem、crt、cer多种输出格式，其实内容都一样，来试一下：

每次生成的证书都不一样，但是未发现不同后缀名下的证书格式不同。

我的理解：

pem是最基本的编码格式，der也相同。

CRT文件是由第三方证书颁发机构（例如VeriSign或DigiCert）提供和生成的安全文件，ASCII编码格式。

cer是crt的微软形式。

为了统一，全使用cer格式。

可选择将证书和私钥导入密钥库，通常用p12和jks（ Java Key Store）格式：

openssl pkcs12 -export -in root-certcer -inkey rootkey -out rootp12 -name "lab"

需要加密保护， -name 设置别名

然后可选择使用keytool将p12转为jks格式，此处就不做转换了。

步骤基本相同

步骤基本相同

openssl genrsa -out server-keykey 2048

openssl req -new -out server-reqcsr -key server-keykey -keyform PEM

openssl x509 -req -in server-reqcsr -out server-certcer -CA F:\CERT\mycert\ test\openssl\win\root\root-certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360

openssl pkcs12 -export -in server-certcer -inkey server-keykey -out server p12 -name "lab-server"

运行环境要包含完整证书链。需要将证书链放到系统可信目录下。

为证书绑定ip，只能通过config文件，

文件如下可将常用参数写入，生成请求文件时直接enter即可：

使用配置文件时在生成请求文件和签发证书时的参数不同：

生成请求文件：

openssl req -new -out server-req1csr -key server-keykey -keyform PEM -extensions v3_req -config openssl cnf

签发证书：

openssl x509 -req -in server-req1csr -out server-cert1cer -CA F:\CERT\mycert\test\openssl\win\root\root- certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360 -extensions v3_req -extfile opensslcnf

默认证书链长度为2，使用中间ca签发时，中间ca的生成需要在配置文件中加修改长度参数：

[ v3_ca ]

basicConstraints = CA:true,pathlen:3

Note：

参考：

OpenSSL主配置文件opensslcnf

利用OpenSSL创建证书链并应用于IIS7

openssl系列文章： http://wwwcnblogscom/f-ck-need-u/p/7048359html

步骤1：搭建软件环境，windows7旗舰版执行开始I 设置I 控制面板命令，在打开的控制面板 窗口中双击添加删除程序Windows组件选项，在这里面安装IIS以及ASP服务，如图所示。

步骤2：在Windows组件中向导对话框， win7系统在安装证书服务时选中独立根CA单选按钮，如图所示，然后单击下一步按钮。

步骤3：在CA识别倌息对话框的此CA的公用名称文本框中输入名称，如图3所示，其他操作依据向导提示完成。

请问你的www服务是什么环境，apache还是nginx

如果是nginx的话可以在/usr的nginx目录下创建cert目录，将你的自制证书文件pem和key文件放到目录中；

其次在你的域名解析xxxcomconf中插入