GmSSL 是一个开源(遵循 BSD 协议)的密码工具箱,支持 SM2 / SM3 / SM4 / SM9 / ZUC 等国密(国家商用密码)算法、SM2 国密数字证书及基于 SM2 证书的 SSL / TLS 安全通信协议,支持国密硬件密码设备,提供符合国密规范的编程接口与命令行工具,可以用于构建 PKI / CA 、安全通信、数据加密等符合国密标准的安全应用。GmSSL 项目是 OpenSSL 项目的分支,并与 OpenSSL 保持接口兼容。因此 GmSSL 可以替代应用中的 OpenSSL 组件,并使应用自动具备基于国密的安全能力。
国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,国密算法系列包括 SM1,SM2,SM3,SM4,SM7,SM9 和 ZUC 算法,与国际通用算法标准有对应关系。其中对称密码算法包括 SM1,SM4 和 SM7,非对称密码算法包括 SM2,SM9,哈希算法包括 SM3。
- SM1 算法:仅支持硬件实现,目前使用范围逐渐萎缩,目前主要在存量市场有所使用。
- SM2 算法:对标 RSA、ECC 算法,算法标准已公开。
- SM3 算法:对标 MD5、SHA-256 等哈希算法,算法标准已公开。
- SM4 算法:对标 AES,3DES 等算法,算法标准已公开。
- SM7 算法:针对非接触式 IC 卡、票务、支付卡类应用,算法标准已公开。
- SM9 算法:ZUC 算法属于对称密码算法中的序列密码算法,以 32 位字为单位输出密钥流,其密钥长度和 IV 长度均为 128 比特。
目录
1.GmSSL 制作自签证书
1.1.第一阶段:制作 CA 根证书
1.2.第二阶段:制作服务器证书
1.3.第三阶段:制作客户端证书(双向认证使用)
2.Web 容器配置 HTTPS站点
2.1.Tomcat 配置方案
2.2.Nginx 配置方案
2.3.Apache Httpd 配置方案
3.客户端访问
3.1.安装 CA 机构证书
3.2.安装客户端 PKCS12 证书(双向认证使用)
3.3.常见问题
后记一:HTTPS 和 SSL 的概念和工作原理
1.GmSSL 制作自签证书
1、安装 GmSSL。
1)验证并安装依赖软件。通过源代码编译的方式安装 GmSSL,需要依赖软件"make"、"gcc",验证或安装依赖软件:
$ sudo yum install make gcc
补充知识:
① "gcc"是一个C/C++、FORTRAN、JAVA、OBJC、ADA等多种语言的编译器,用来将源代码编译成可发布的软件程序。
② "make"是一个工程管理工具,能够根据 Makefile 中的脚本执行编译、安装流程。
2)打开 GmSSL 下载页面【https://github.com/guanzhi/GmSSL】,下载 GmSSL 源代码 zip 包到用户主目录中:
![](https://img-blog.csdnimg.cn/img_convert/f599ae30a2f60fc1dea2161d2adae62d.png)
3)解压缩 GmSSL 的源代码 zip 包到用户主目录下:
$ unzip GmSSL-master.zip
$ ll
drwxrwxr-x. 24 centos centos 4096 8月 24 21:46 GmSSL-master
4)安装 GmSSL,进入源代码目录,配置、编译、安装程序,并拷贝链接库文件("libcrypto.so.1.1"、"libssl.so.1.1")到系统链接库目录("/lib64")中:
$ cd GmSSL-master
$ ./config
$ make
$ sudo make install
$ sudo cp libcrypto.so.1.1 libssl.so.1.1 /lib64
程序安装目录是"/usr/local/bin"。
5)查看 GmSSL 的链接库文件是否正常:
$ ldd /usr/local/bin/gmssl
linux-vdso.so.1 => (0x00007fffc0cc2000)
libssl.so.1.1 => /lib64/libssl.so.1.1 (0x00007f9fd0a46000)
libcrypto.so.1.1 => /lib64/libcrypto.so.1.1 (0x00007f9fd04f2000)
libdl.so.2 => /lib64/libdl.so.2 (0x00007f9fd02ee000)
libpthread.so.0 => /lib64/libpthread.so.0 (0x00007f9fd00d2000)
libc.so.6 => /lib64/libc.so.6 (0x00007f9fcfd04000)
/lib64/ld-linux-x86-64.so.2 (0x00007f9fd0cbd000)
2、创建 SSL 工作目录。
证书包括 CA 认证机构、服务器和客户端三类证书的制作,在 SSL 工作根目录下分别建立"ca"、"server"、"client"子目录存放对应的输出文件,并设置所有者为证书管理账户。
$ sudo mkdir -p /data/ssl/ca
$ sudo mkdir -p /data/ssl/server
$ sudo mkdir -p /data/ssl/client
$ sudo chown -R centos:centos /data/ssl
3、术语说明
1.1.第一阶段:制作 CA 根证书
1、制作 CA【秘钥】。
$ gmssl ecparam -genkey -name sm2p256v1 -out /data/ssl/ca/ca.key
说明:
- 【openssl ecparam】表示制作秘钥。
- 【-genkey】表示生成一个 EC 秘钥;
- 【-name】表示 EC 密码的算法。
- 【-out】表示秘钥的输出文件。
查看 CA 秘钥文件:
gmssl ec -in /data/ssl/ca/ca.key
2、制作 CA 【根证书签名申请】。
输入 CA 秘钥文件,输出 CA 根证书签名申请文件。
操作过程:验证 CA 秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。
$ gmssl req -new -key /data/ssl/ca/ca.key -out /data/ssl/ca/ca.csr
Enter pass phrase for /data/ssl/ca/ca.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:ch
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:zhangyi
Common Name (eg, your name or your server's hostname) []:ca
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
说明:
- 【openssl req】表示制作证书签名申请。
- 【-new】表示生成证书请求文件;
- 【-key】表示秘钥的输入文件;
- 【-out】表示证书签名申请的输出文件。
注意:【Common Name】应为 CA 机构的名称。
查看 CA 证书申请文件:
$ gmssl req -in /data/ssl/ca/ca.csr -noout -text
3、生成 CA 自签【根证书】,即对签名申请进行自签生成证书。
输入 CA 秘钥文件、CA 根证书签名申请,输出 CA 自签根证书文件。
$ gmssl x509 -req -days 3650 -sm3 -signkey /data/ssl/ca/ca.key -in /data/ssl/ca/ca.csr -out /data/ssl/ca/ca.pem
Signature ok
subject=C = ch, ST = sd, L = qd, O = private, OU = zhangyi, CN = ca
Getting Private key
说明:
- 【openssl x509】表示制作自签证书。
- 【-req】表示输入文件的类型是证书签名申请;
- 【-days】表示证书的有效期,单位是天;
- 【-sm3】表示使用 SM3 加密算法进行签名;
- 【-signkey】表示签名秘钥的输入文件;
- 【-in】表示证书签名申请的输入文件;
- 【-out】表示证书的输出文件。
查看 CA 证书文件:
$ gmssl x509 -in /data/ssl/ca/ca.pem -noout -text
4、导出 CA【 PKCS12 证书】。
输入 CA 自签的 CA 证书文件、CA 秘钥,输出 CA PKCS12 证书。
操作过程:设置 PKCS12 证书口令。
$ gmssl pkcs12 -export -in /data/ssl/ca/ca.pem -inkey /data/ssl/ca/ca.key -out /data/ssl/ca/ca.p12 -name ca
Enter Export Password:
Verifying - Enter Export Password:
说明:
- 【openssl pkcs12】表示制作 PKCS12 证书。
- 【-export 】表示导出 PKCS12 证书;
- 【-in】表示签名证书的输入文件;
- 【-inkey】表示秘钥的输入文件;
- 【-name】表示 PKCS12 证书的别名;
- 【-out】表示 PKCS12 证书的输出文件。
查看 CA PKCS12 证书文件(需要输入 CA PKCS12 证书口令):
$ gmssl pkcs12 -in /data/ssl/ca/ca.p12 -info
Enter Import Password:
......
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
......
5、查看 CA 产生的全部文件。
$ ls /data/ssl/ca/
ca.csr ca.key ca.p12 ca.pem
1.2.第二阶段:制作服务器证书
1、制作服务器【秘钥】。
$ gmssl ecparam -genkey -name sm2p256v1 -out /data/ssl/server/server.key
说明:
- 【openssl ecparam】表示制作秘钥。
- 【-genkey】表示生成一个 EC 秘钥;
- 【-name】表示 EC 密码的算法。
- 【-out】表示秘钥的输出文件。
查看服务器秘钥文件:
gmssl ec -in /data/ssl/server/server.key
2、制作服务器【证书签名申请】。
输入服务器秘钥文件,输出服务器证书签名申请文件。
操作过程:验证服务器秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。
$ gmssl req -new -key /data/ssl/server/server.key -out /data/ssl/server/server.csr
Enter pass phrase for /data/ssl/server/server.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:ch
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:zhangyi
Common Name (eg, your name or your server's hostname) []:192.168.216.128
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
说明:
- 【openssl req】表示制作证书签名申请。
- 【-new】表示生成证书请求文件;
- 【-key】表示秘钥的输入文件;
- 【-out】表示证书签名申请的输出文件。
注意:【Common Name】应为服务器的 IP 地址或者 DNS(如:192.168.216.128 或者 localhost)。在 在 Web 容器配置后,当客户端使用 HTTPS 协议访问时,如果域名与【Common Name】不一致,则会进行风险提示。
查看服务器证书申请文件:
$ gmssl req -in /data/ssl/server/server.csr -noout -text
3、生成 CA 签名的服务器【证书】,即 CA 对服务器签名申请进行签名生成服务器证书。
输入 CA 根证书文件、 CA 秘钥文件、服务器证书签名申请,输出 CA 签名的服务器证书文件。
$ gmssl x509 -req -days 3650 -sm3 -CA /data/ssl/ca/ca.pem -CAkey /data/ssl/ca/ca.key -CAcreateserial -in /data/ssl/server/server.csr -out /data/ssl/server/server.pem
Signature ok
subject=C = ch, ST = sd, L = qd, O = private, OU = zhangyi, CN = 192.168.216.128
Getting CA Private Key
说明:
- 【openssl x509】表示制作 CA 签名的证书。
- 【-req】表示输入文件的类型是证书签名申请;
- 【-days】表示证书的有效期,单位是天;
- 【-sm3】表示使用 SM3 加密算法进行签名;
- 【-CA】表示 CA 根证书的输入文件;
- 【-CAkey】表示 CA 秘钥的输入文件;
- 【-CAcreateserial】表示如果 CA 序列号文件不存在自动创建;
- 【-in】表示证书签名申请的输入文件;
- 【-out】表示证书的输出文件。
查看服务器证书文件:
$ gmssl x509 -in /data/ssl/server/server.pem -noout -text
使用 CA 证书验证服务器证书文件:
$ gmssl verify -CAfile /data/ssl/ca/ca.pem /data/ssl/server/server.pem
/data/ssl/server/server.pem: OK
4、导出服务器【 PKCS12 证书】。
输入 CA 签名的服务器证书文件、服务器秘钥,输出服务器 PKCS12 证书。
操作过程:设置 PKCS12 证书口令。
$ gmssl pkcs12 -export -in /data/ssl/server/server.pem -inkey /data/ssl/server/server.key -out /data/ssl/server/server.p12 -name https_cert
Enter Export Password:
Verifying - Enter Export Password:
说明:
- 【openssl pkcs12】表示制作 PKCS12 证书。
- 【-export 】表示导出 PKCS12 证书;
- 【-in】表示签名证书的输入文件;
- 【-inkey】表示秘钥的输入文件;
- 【-name】表示 PKCS12 证书的别名;
- 【-out】表示 PKCS12 证书的输出文件。
查看服务器 PKCS12 证书文件(需要输入服务器 PKCS12 证书口令):
$ gmssl pkcs12 -in /data/ssl/server/server.p12 -info
Enter Import Password:
......
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
......
5、查看服务器产生的全部文件。
$ ls /data/ssl/server
server.csr server.key server.p12 server.pem
1.3.第三阶段:制作客户端证书(双向认证时使用)
1、制作客户端【秘钥】。
$ gmssl ecparam -genkey -name sm2p256v1 -out /data/ssl/client/client.key
说明:
- 【openssl ecparam】表示制作秘钥。
- 【-genkey】表示生成一个 EC 秘钥;
- 【-name】表示 EC 密码的算法。
- 【-out】表示秘钥的输出文件。
查看客户端秘钥文件:
gmssl ec -in /data/ssl/client/client.key
2、制作客户端【证书签名申请】。
输入客户端秘钥文件,输出客户端证书签名申请文件。
操作过程:验证客户端秘钥口令 => 设置国家名称 => 设置省份名称 => 设置城市名称 => 设置组织机构名称 => 设置组织单元名称 => 设置证书名称 => 设置电子邮件地址和扩展属性(密码提示信息和可选的公司名称)。
$ gmssl req -new -key /data/ssl/client/client.key -out /data/ssl/client/client.csr
nter pass phrase for /data/ssl/client/client.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:ch
State or Province Name (full name) []:sd
Locality Name (eg, city) [Default City]:qd
Organization Name (eg, company) [Default Company Ltd]:private
Organizational Unit Name (eg, section) []:zhangyi
Common Name (eg, your name or your server's hostname) []:https_client
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
说明:
- 【openssl req】表示制作证书签名申请。
- 【-new】表示生成证书请求文件;
- 【-key】表示秘钥的输入文件;
- 【-out】表示证书签名申请的输出文件。
注意:【Common Name】应为客户端的统一标识。
查看客户端证书申请文件:
$ gmssl req -in /data/ssl/client/client.csr -noout -text
3、生成 CA 签名的客户端【证书】,即 CA 对客户端签名申请进行签名生成客户端证书。
输入 CA 根证书文件、 CA 秘钥文件、客户端证书签名申请,输出 CA 签名的客户端证书文件。
$ gmssl x509 -req -days 3650 -sm3 -CA /data/ssl/ca/ca.pem -CAkey /data/ssl/ca/ca.key -CAcreateserial -in /data/ssl/client/client.csr -out /data/ssl/client/client.pem
Signature ok
subject=C = ch, ST = sd, L = qd, O = private, OU = zhangyi, CN = https_client
Getting CA Private Key
说明:
- 【openssl x509】表示制作 CA 签名的证书。
- 【-req】表示输入文件的类型是证书签名申请;
- 【-days】表示证书的有效期,单位是天;
- 【-sm3】表示使用 SM3 加密算法进行签名;
- 【-CA】表示 CA 根证书的输入文件;
- 【-CAkey】表示 CA 秘钥的输入文件;
- 【-CAcreateserial】表示如果 CA 序列号文件不存在自动创建;
- 【-in】表示证书签名申请的输入文件;
- 【-out】表示证书的输出文件。
查看客户端证书文件:
$ gmssl x509 -in /data/ssl/client/client.pem -noout -text
使用 CA 证书验证服务器证书文件:
$ gmssl verify -CAfile /data/ssl/ca/ca.pem /data/ssl/client/client.pem
/data/ssl/client/client.pem: OK
4、导出客户端【 PKCS12 证书】。
输入 CA 签名的客户端证书文件、客户端秘钥,输出客户端 PKCS12 证书。
操作过程:设置 PKCS12 证书口令。
$ gmssl pkcs12 -export -in /data/ssl/client/client.pem -inkey /data/ssl/client/client.key -out /data/ssl/client/client.p12 -name https_client
Enter Export Password:
Verifying - Enter Export Password:
说明:
- 【openssl pkcs12】表示制作 PKCS12 证书。
- 【-export 】表示导出 PKCS12 证书;
- 【-in】表示签名证书的输入文件;
- 【-inkey】表示秘钥的输入文件;
- 【-name】表示 PKCS12 证书的别名;
- 【-out】表示 PKCS12 证书的输出文件。
查看客户端 PKCS12 证书文件(需要输入服务器 PKCS12 证书口令):
$ gmssl pkcs12 -in /data/ssl/client/client.p12 -info
Enter Import Password:
......
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
......
5、查看客户端产生的全部文件。
$ ls /data/ssl/client
client.csr client.key client.p12 client.pem
2.Web 容器配置 HTTPS 站点
2.1.Tomcat 配置方案
1、安装并配置 Tomcat 。
sudo tar zxvf apache-tomcat-9.0.34.tar.gz -C /usr/local
sudo mv /usr/local/apache-tomcat-9.0.34 /usr/local/tomcat-9.0.34
sudo gedit /usr/local/tomcat-9.0.34/conf/server.xml
在文件中的增加以下配置并保存(服务器认证):
<Server>
<Service>
<Connector
port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
keystoreFile="/data/ssl/server/server.p12"
keystoreType="PKCS12"
keystorePass="123456a?">
</Connector>
</Service>
</Server>
在文件中的增加以下配置并保存(双向认证):
<Server>
<Service>
<Connector
port="443"
protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
keystoreFile="/data/ssl/server/server.p12"
keystoreType="PKCS12"
clientAuth="true"
truststoreFile="/data/ssl/ca/ca.p12"
truststoreType="PKCS12"
truststorePass="123456a?">
</Connector>
</Service>
</Server>
2、启动/重新启动 Tomcat 。
$ sudo /usr/local/tomcat-9.0.34/bin/startup.sh
$ sudo /usr/local/tomcat-9.0.34/bin/shutdown.sh && /usr/local/tomcat-9.0.34/bin/startup.sh
2.2.Nginx 配置方案
1、安装并配置 Nginx 。
$ sudo dnf install make gcc pcre pcre-devel zlib zlib-devel openssl openssl-devel
$ tar -zxvf nginx-1.18.0.tar.gz
$ cd nginx-1.18.0
$ ./configure --with-http_ssl_module
$ make
$ sudo make install
$ sudo gedit /usr/local/nginx/conf/nginx.conf
在文件中的增加以下配置并保存:
http {
server {
listen 80;
listen 443 ssl;
server_name localhost;
# 服务器签名证书文件
ssl_certificate /data/ssl/server/server.pem;
# 服务器秘钥文件
ssl_certificate_key /data/ssl/server/server.key;
# 开启客户端证书认证(双向认证)
# ssl_verify_client on;
# CA 证书(双向认证)
# ssl_client_certificate /data/ssl/ca/ca.pem;
ssl_session_cache shared:SSL:1m;
ssl_session_timeout 5m;
ssl_ciphers HIGH:!aNULL:!MD5;
ssl_prefer_server_ciphers on;
location / {
...
}
}
}
2、启动/重新启动 Nginx 服务器。
$ sudo /usr/local/nginx/sbin/nginx
$ sudo /usr/local/nginx/sbin/nginx -s reload
2.3.Apache Httpd 配置方案
1、安装并配置 Apache Httpd。
$ sudo dnf install httpd
$ sudo dnf install mod_ssl openssl
$ sudo setenforce 0
$ sudo gedit /etc/httpd/conf.d/ssl.conf
在文件中的编辑以下配置并保存:
# 监听端口
Listen 443 https
# Https 根路径
DocumentRoot "/var/www/html"
# 服务器域名
ServerName localhost
# 服务器签名证书文件
SSLCertificateFile /data/ssl/server/server.pem
# 服务器秘钥文件
SSLCertificateKeyFile /data/ssl/server/server.key
# 开启客户端证书认证(双向认证)
# SSLVerifyClient require
# CA 证书(双向认证)
# SSLCACertificateFile /data/ssl/ca/ca.pem
2、启动/重新启动 Apache Httpd 服务器。
$ sudo systemctl start httpd.service
$ sudo systemctl restart httpd.service
3.客户端配置
3.1.安装 CA 机构证书
![](https://img-blog.csdnimg.cn/img_convert/de9200528818aed1e82ce680be6f8ea8.png)
第1步
![](https://img-blog.csdnimg.cn/img_convert/082ce636bc5c492f300bd370b29c69b4.png)
第2步
![](https://img-blog.csdnimg.cn/img_convert/3bb20b7fd9ea9988c5c99ea2653f7361.png)
第3步
![第4步](https://img-blog.csdnimg.cn/img_convert/d421a3771bca6e6485d5e2515ee8bf6d.png)
第4步
![](https://img-blog.csdnimg.cn/img_convert/d542ed578eb2caafea0d20099682038e.png)
第5步
![](https://img-blog.csdnimg.cn/img_convert/e03afd5c754217381080dc1013dc5da9.png)
第6步
3.2.安装客户端 PKCS12 证书(双向认证使用)
1、参照章节"3.1.安装 CA 机构证书",安装 CA 机构证书。
2、安装客户端 PKCS12 证书。
![](https://img-blog.csdnimg.cn/img_convert/f68e3eb64e26682cd6729fc01318f9c9.png)
第1步
![](https://img-blog.csdnimg.cn/img_convert/61dbcfd2dd8707840bf481dab1064f0a.png)
第2步
![](https://img-blog.csdnimg.cn/img_convert/a5be4ee5524a875183dcf8ef6070ca54.png)
第3步
![](https://img-blog.csdnimg.cn/img_convert/688826e7908aa5c886777319824c781f.png)
第4步
![](https://img-blog.csdnimg.cn/img_convert/7376954f08d7ca27e384f3c9ac9f823c.png)
第5步
![](https://img-blog.csdnimg.cn/img_convert/e3d53fd82f340f3663f6e319d9abd257.png)
第6步
Nginx配置SSL证书部署https支持
免费ssl证书申请
申请免费的SSL证书
沃通、阿里云 申请免费的SSL证书
下载www.iamle.com.zip文件,解压文件,找到for Nginx.zip解压,得到2个文件
1_www.iamle.com_bundle.crt ,2_www.iamle.com.key
改个名字www.iamle.com.crt,www.iamle.com.key传到服务器上备用
找到对应的server,增加listen 443 ssl;
ssl on;
ssl_certificate /usr/local/nginx/conf/ssl/www.iamle.com.crt;
ssl_certificate_key /usr/local/nginx/conf/ssl/www.iamle.com.key;
ssl_session_timeout 5m;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP;
ssl_prefer_server_ciphers on;
重新载入nginx配置
# /etc/init.d/nginx reload
转换pfx为nginx需要的crt,key
如果已经有一个扩展名为pfx的证书,那么需要转换使用
# openssl pkcs12 -in www.iamle.com.pfx -nocerts -nodes -out www.iamle.com.key
Enter Import Password: 输入证书密码
MAC verified OK
# openssl pkcs12 -in www.iamle.com.pfx -clcerts -nokeys -out www.iamle.com.crt
Enter Import Password: 输入证书密码
MAC verified OK
生成2个文件 www.iamle.com.key , www.iamle.com.pfx 复制到你指定的目录
https://www.jianshu.com/p/983ee30af32c 大佬文章