创建CA
CA证书
创建一个CA的Key文件。该文件非常好重要。请好好保管。
openssl genrsa -des3 -out ca.key 2048
根据Key生成一个自签署的文件。在这里,证书的有效期是10年(实际上3650天)。
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
在签署的时候,openssl会提示输入证书的细节。适当的输入你的证书信息。比如我这里
Common Name (eg, your name or your server's hostname) []:bluestar
Email Address []:bluestar@126.com
到此为止,我们的根证书就算创建好了。但是,该证书是不被信任的。除非你手动的把它导入到受信任区域里。下面就介绍下把自签署的根证书导入到Windows证书管理器的步骤。
导入CA证书到Windows
常用的IE和Chrome,OutlookExpress等都使用Window的证书管理器。导入CA证书到Windows有两种方法:从证书管理器里启动安装;直接安装证书。当证书以crt扩展名保存的时候,Windows自动识别为数字证书,对其点右键即可出现安装的菜单。
没什么说的,下一步。
注意,这里要必须选择区域为“受信任人的根证书发型机构”。
完成安装。
结束向导之时,会有一个警告。确认之后,点确认。
到此为止,就完成了安装。然后我们可以在Internet选项的数字证书管理器里(开始,运行,inetcpl.cpl,内容,证书)的受信任的根发行机构部分里看到我们的证书。