openssl下载地址:http://download.csdn.net/download/chao2263263364/7444187
openssl req -new -x509 -keyout ca.key -out ca.crt -config ./openssl.cnf
输入ca私钥密码和机构信息
妥善保存ca私钥密码以及其他机构信息
二生成证书相关
1.生成密钥 Generate the private key(生成RSA密钥)
openssl genrsa -des3 -out zhengshu.key 1024
输入密钥密码
此命令将生成1024位的RSA密钥,密钥文件名为: zhengshu.key,会提示您设定密钥密码,请设置密码,并牢记。需要注意的是这个文件包含了公钥和私钥两部分
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.
2.生成CSR文件 Generate the CSR(生成一个证书请求)
openssl req -new -key zhengshu.key -out zhengshu.csr -config ./openssl.cnf
生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.
此命令将提示您输入X.509证书所要求的字段信息,包括国家(中国添CN)、省份、所在城市、单位名称、单位部门名称(可以不填直接回车)。请注意: 除国家缩写必须填CN外,其余都可以是英文或中文。
请输入您要申请SSL证书的域名,如果您需要为www.domain.com申请SSL证书就不能只输入domain.com。SSL证书是严格绑定域名的。
请不要输入Email、口令(challenge password)和可选的公司名称,直接打回车即可。
您现在已经通过私钥成功生成了请求文件:zhengshu.csr 保存在您的服务器中。
3. 备份密钥文件 Backup your private key
请备份您的密钥文件并记下私钥密码。最好是把密钥文件备份到软盘或光盘中。
4. 测试CSR
生成CSR后,建议您自己测试一下生成的CSR文件是否正确
5. 用户服务器crt生成(生成数字证书)
openssl ca -days 3650 -in zhengshu.csr -out zhengshu.crt -cert ca.crt -keyfile ca.key -config ./openssl.cnf
输入ca.key的密码,确认两次生成
输入ca.key的密钥后,完成证书生成。-in选项指明用于被签名的csr证书,-cert选项指明用于被签名的ca证书,--keyfile选项指明用于被签名的ca密钥
最后生成了SSL证书zhengshu.crt以及对应的.pem文件(pem文件以序号命名,生成时间同zhengshu.crt)
(生成的crt和pem都是公钥,用来验签)
6. 生成pfx文件
将可能存放于newcerts中的(具体参考配置文件openssl.cnf中的new_certs_dir)随crt生成的相应pem文件复制到zhengshu.key的同一目录下,并修改文件名为zhengshu.pem
openssl pkcs12 -export -in zhengshu.pem -inkey zhengshu.key -out zhengshu.pfx
输入zhengshu.key的私钥密码,然后重新指定zhengshu.pfx的使用密码
最后通过pem和key文件生成了pfx,请记录该使用密码,在使用pfx进行加密过程中需要键该密码。(该文件里面包含公钥和私钥,用来签名)
key和pem是同一个东西,只是后缀不同
crt和cer是同一个东西,只是后缀不同
用zhengshu.pfx来做签名(私钥),zhengshu.crt做验签(公钥)
备注:
1.错误相关如果存在找不到openssl config文件的,可重新生成一份openssl.cnf文件存放于openssl工具根目录下,执行命令时加上-config ./openssl.cnf即可
2.如出现default is an unsupported message digest type之类的ca生成错误,修改openssl.cnf文件的default_md = default修改为default_md = md5
3.其他文件夹错误请根据实际配置的openssl.cnf补充serial文件/index.txt文件/index.txt.attr文件/newcerts文件夹 等
4.如果出现ca组织机构和签发csr的机构不匹配无法签发的情况,请根据openssl.cnf的配置修改
一生成ca相关
双击运行openssl.exe
1.生成 ca.key和ca.crt:openssl req -new -x509 -keyout ca.key -out ca.crt -config ./openssl.cnf
输入ca私钥密码和机构信息
妥善保存ca私钥密码以及其他机构信息
二生成证书相关
1.生成密钥 Generate the private key(生成RSA密钥)
openssl genrsa -des3 -out zhengshu.key 1024
输入密钥密码
此命令将生成1024位的RSA密钥,密钥文件名为: zhengshu.key,会提示您设定密钥密码,请设置密码,并牢记。需要注意的是这个文件包含了公钥和私钥两部分
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.
2.生成CSR文件 Generate the CSR(生成一个证书请求)
openssl req -new -key zhengshu.key -out zhengshu.csr -config ./openssl.cnf
生成Certificate Signing Request(CSR),生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.
此命令将提示您输入X.509证书所要求的字段信息,包括国家(中国添CN)、省份、所在城市、单位名称、单位部门名称(可以不填直接回车)。请注意: 除国家缩写必须填CN外,其余都可以是英文或中文。
请输入您要申请SSL证书的域名,如果您需要为www.domain.com申请SSL证书就不能只输入domain.com。SSL证书是严格绑定域名的。
请不要输入Email、口令(challenge password)和可选的公司名称,直接打回车即可。
您现在已经通过私钥成功生成了请求文件:zhengshu.csr 保存在您的服务器中。
3. 备份密钥文件 Backup your private key
请备份您的密钥文件并记下私钥密码。最好是把密钥文件备份到软盘或光盘中。
4. 测试CSR
生成CSR后,建议您自己测试一下生成的CSR文件是否正确
5. 用户服务器crt生成(生成数字证书)
openssl ca -days 3650 -in zhengshu.csr -out zhengshu.crt -cert ca.crt -keyfile ca.key -config ./openssl.cnf
输入ca.key的密码,确认两次生成
输入ca.key的密钥后,完成证书生成。-in选项指明用于被签名的csr证书,-cert选项指明用于被签名的ca证书,--keyfile选项指明用于被签名的ca密钥
最后生成了SSL证书zhengshu.crt以及对应的.pem文件(pem文件以序号命名,生成时间同zhengshu.crt)
(生成的crt和pem都是公钥,用来验签)
6. 生成pfx文件
将可能存放于newcerts中的(具体参考配置文件openssl.cnf中的new_certs_dir)随crt生成的相应pem文件复制到zhengshu.key的同一目录下,并修改文件名为zhengshu.pem
openssl pkcs12 -export -in zhengshu.pem -inkey zhengshu.key -out zhengshu.pfx
输入zhengshu.key的私钥密码,然后重新指定zhengshu.pfx的使用密码
最后通过pem和key文件生成了pfx,请记录该使用密码,在使用pfx进行加密过程中需要键该密码。(该文件里面包含公钥和私钥,用来签名)
key和pem是同一个东西,只是后缀不同
crt和cer是同一个东西,只是后缀不同
用zhengshu.pfx来做签名(私钥),zhengshu.crt做验签(公钥)
备注:
1.错误相关如果存在找不到openssl config文件的,可重新生成一份openssl.cnf文件存放于openssl工具根目录下,执行命令时加上-config ./openssl.cnf即可
2.如出现default is an unsupported message digest type之类的ca生成错误,修改openssl.cnf文件的default_md = default修改为default_md = md5
3.其他文件夹错误请根据实际配置的openssl.cnf补充serial文件/index.txt文件/index.txt.attr文件/newcerts文件夹 等
4.如果出现ca组织机构和签发csr的机构不匹配无法签发的情况,请根据openssl.cnf的配置修改
扫一扫
664
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
