生成SSL证书

Title:生成SSL证书
Date:2015-05-22 15:08:42
Category:Server Develop
Tag:技术,生活,Server Develop
Author:EricTang

最近在忙活公司的事情，所以博客更新少了，但还是尽量有时间把自己平时的一些笔记整理记录下来。这里之所以把SSL证书的创建过程记录一下，至于用处嘛，是打算自己写一个iOS的内网Daily Build和分发。闲话不表，我们来看具体的步骤。

准备工作

首先，先创建一个文件夹，我们这里取名叫demoCA，然后参考openssl.cfg/openssl.cnf文件，不确定为啥命名是这样儿的，可以打开openssl.cnf看看内容就清楚了，按照自己的需要设置证书要用的目的之类的，当然，这里我们无需自己设置，可以直接使用默认的。然后我们在demoCA目录下，分别创建certs、newcerts文件夹，并且创建一个空白的index.txt文件和一个serial文件，在serial文件中填充任意的16进制数字，如0000，准备工作，基本到这里就结束了，接下来我们开始正式生成SSL证书。

开始生成SSL证书

1. 首先，生成服务器端的私钥（key文件）：

$openssl genrsa -des3 -out server.key 1024

之后会提示输入密码，这个密码是用于加密这个key文件的，其中参数des3是加密的算法，也可以选择其它的例如aes算法。

如图：

以后每次需要读取该key文件时都要输入密码，如果觉得太麻烦也可以直接去掉，去掉key文件口令的命令是：

$openssl rsa -in server.key -out server.key

2. 按照我们的配置文件，生成证书签名请求文件，即CSR文件（Certificate Signing Request），生成的CSR文件交给CA签名形成服务端自己的证书，命令如下：

$openssl req -new -key server.key -out server.csr -config openssl.cnf

填写如图所示的基本信息：

3. 对客户端也作同样的命令，生成key和CSR文件

$openssl genrsa -des3 -out client.key 1024

$openssl req -new -key client.key -out client.csr -config openssl.cnf

参考服务端的生成方法，填写信息即可。

4. CSR文件必须有CA的签名才可以生成证书，这里我们直接自己做CA。

在当前目录下执行如下命令：

$openssl req -new -x509 -keyout ca.key -out ca.crt -config openssl.cnf

之后会看到在SelfCA目录下生成了一个ca.key和ca.crt文件

5. 用刚生成的CA证书为server.csr，client.csr文件签名：

$Openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

$Openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config openssl.cnf

之后，我们应该就已经创建了可以使用的证书了，如果在签名的过程中有任何错误，可以先看一下index.txt文件中的信息，然后清空它，重新执行第5步中失败的操作。