本文档详细介绍了如何使用openssl命令行工具生成自签署的SSL证书,包括创建CA证书、生成密钥、证书签名请求,以及将证书转换为p12格式。适用于Windows系统的操作,强调了泛域名证书的创建和受信任根证书的配置。
必备文件下载:点击下载
下载后解压,在解压的目录里面运行openssl
生成的泛域名证书是100年,如果是windows系统需要执行p12格式证书,把证书添加到【受信任的根证书发布】
证书密码是123456
1.创建ca证书
openssl req -sha256 -new -x509 -days 36500 -keyout CA.key -out CA.crt -config openssl.cnf
1.输入密码123456
2.重复输入密码123456
3.国家 cn
4.省 hubei
5.市 wuhan
6.公司名称 maiji
7.公司部门 jishu
8.颁发者 maijidudu
9.邮箱 回车
2.生成xxx.com.key密钥
openssl genrsa -out c.com.key 20483.生成 xxx.com.csr 证书签名请求
openssl req -new -sha256 -key c.com.key -out c.com.csr -config openssl.cnf1.国家 cn
2.省 hubei
3.市 wuhan
4.公司名称 maiji
5.公司部门 jishu
6.域名 *.c.com
7.直接回车(如果有的情况下可忽略)
8.回车(如果有的情况下可忽略)
注释Common Name 就是在这一步填写 *.xxx.com 表示的就是该证书支持泛域名,common name一定要在SubjectAlternativeName中包含
4.使用自签署的CA,签署xxx.com.scr
openssl ca -in c.com.csr -days 36500 -md sha256 -out c.com.crt -cert CA.crt -keyfile CA.key -extensions v3_req -config openssl.cnf
注意:即便是你前面是sha256的根证书和sha256的请求文件,如果这里不加-md sha256,默认是按照sha1进行签名的
5.crt转pem格式
openssl x509 -in c.com.crt -out c.com.pem -outform PEM6.生成p12格式的证书(利用生成的CA根证书和服务证书的crt和key文件生成P12文件)windwos系统用的
openssl pkcs12 -export -in c.com.crt -inkey c.com.key -passin pass:123456 -name *.c.com -chain -CAfile CA.crt -password pass:123456 -caname *.c.com -out c.com.p12生成的证书是使用的*.c.com 修改本地是host就可以了
127.0.0.1 a.c.com
127.0.0.1 b.c.com
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
