利用openssl创建私秘和测试证书

利用openssl创建私秘和测试证书

使用openssl生成私钥和证书

这里以Ubuntu为例，说明使用openssl如何生成私钥和证书，windows也是类似的

生成私钥

openssl ecparam -name prime256v1 -genkey -noout > eckey

参数解释：
ecparam 使用ECC算法法生成密钥
-name prime256v1 使用prime256v1曲线模型
-genkey 生成椭圆曲线密钥参数
-noout不打印参数编码的版本信息。
一般来说有两种方法可以生成私钥，RSA和ECC，我这里选用ECC，RSA的算法在后面生成证书的时候会使用sha1生成digsest，而ECC算法使用sha256生成digest，在安全性上sha256比sha1要高，所以我这里选择了ECC算法
生成的私钥会保存在eckey文件中

使用req命令生成证书

openssl req -new -x509 -sha256 -key eckey -out mykey.x509.pem -days 10000 -config openssl.cnf
参数解释:
-x509生成自签名证书
-sha256使用sha256算法计算digest
-key eckey 使用上一步生成的私钥
-out mykey.x509.pem指定生成的证书名字
-days 10000 证书有效期为10000天
-subj附加的一些信息，这些信息将会添加到证书里面
下面是-subj字串内容的解释
/C申请证书的组织所在的国家
/ST申请证书的组织所在的省
/L 申请证书的组织所在的市
/O 申请证书的组织的组织名
/OU申请证书的组织的主页
/CN申请证书的组织的二级组织名
/emailAddress申请证书的组织的邮箱
申请的自签名的证书保存在mykey.x509.pem中

将私钥转化为pkcs#8格式

openssl pkcs8 -in eckey -topk8 -outform DER -out mykey.pk8 -nocrypt

参数解释：
-topk8 表示将传统的私钥文件转化为pkcs#8的格式文件
-in eckey 第1步中生成的传统私钥文件
-outform DER 输出的文件编码格式，DER表示asn1的DER标准格式，其他的还有base64的PEM格式
-out mykey.pk8 输出的pkcs#8格式的私钥文件
-nocrypt 表示不需要密码
将私钥转化为pkcs#8格式是为了方便程序读取，很多标准库和三方库的接口都是基于pkcs#8的标准写的

至此，我们需要的两个文件已经生成，私钥mykey.pk8用户签名，而证书mykey.x509.pem则用于签名的验证

注意： 如果使用PKCS#8的私秘报错，就用未转换的私密代替

服务端代码如下:

const https = require('https');
const fs = require('fs');

var pk = fs.readFileSync('./eckey');
var pc = fs.readFileSync('./mykey.x509.pem');

console.log(pk.toString());
console.log(pc.toString());

var opts = {
    key: pk,
    cert: pc
};

var app = https.createServer(opts, function(req,res) {
    if (req.url !== '/favicon.ico') {
        res.setHeader('Content-Type', 'text/html');
        res.write('<html><head><meta charset="utf-8"/></head></html>');
        res.end('你好');
    }
});


app.listen(3000, 'localhost', function(){
    console.log('监听端口成功')
});

此时打开浏览器输入https://localhost:3000, 我们能正常访问到网站内容，证书也成功导入