1. 建立CA
-
生成RSA密钥对
openssl genrsa -out ca.key 2048
-
生成ca crt:
openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
-days 证书有效期
Country Name (2 letter code) [XX]:CN # 国家代码
State or Province Name (full name) []:XX # 省份
Locality Name (eg, city) [Default City]:XX # 城市
Organization Name (eg, company) [Default Company Ltd]:XX # 组织名称
Organizational Unit Name (eg, section) []:XX # 组织单元名称
Common Name (eg, your name or your server’s hostname) []:XX # 由此ca签的证书颁发者名
Email Address []:xxx@xxx.com #使用者的邮箱
2 . 生成商户证书
-
生成证书RSA密钥
openssl genrsa -out merchant.key 2048
-
生成csr证书
openssl req -new -key merchant.key -sha256 -out merchant.csr
依次输入证书拥有者信息或者使用-subj指定
-
检查merchant.csr的正确性
openssl req -in merchant.csr -text
Signature Algorithm 需要是sha256WithRSAEncryption
-
利用ca生成crt
openssl x509 -req -days 3650 -in merchant.csr -CA ca.crt -CAkey ca.key -CAcreateserial -sha256 -out merchant.crt
-days为证书有效期
-
检查crt的正确性
openssl x509 -in merchant.crt -text
Signature Algorithm 需要是sha256WithRSAEncryption
-
crt转pem 不用转换
openssl x509 -in merchant.crt -out merchant.pem
-
转p12
openssl pkcs12 -export -out merchant.pkcs12 -inkey merchant.key -in merchant.crt
-
p12转pem
openssl pkcs12 -in MyApnsCert.p12 -out MyApnsCert.pem -nodes