工具介紹

• OpenSSL是SSL/TLS協(xié)議的實現(xiàn)工具

• key是私鑰文件，用于對發(fā)送給客戶端的數(shù)據(jù)加密，以及對從客戶端接收的數(shù)據(jù)進(jìn)行解密。

• csr是證書簽名請求文件，用于提交給證書頒發(fā)機(jī)構(gòu)(CA)對證書簽名。

• crt是由證書頒發(fā)機(jī)構(gòu)(CA)簽名后的證書，或者是開發(fā)者自簽名的證書，包含證書持有人的信息，持有人的公鑰，以及簽署者的簽名等信息

操作步驟

1、生成證書

生成私鑰

openssl genrsa -des3 -out myCA.key 2048
##openssl genrsa 用于生成RSA私鑰，不會生成公鑰，因為公鑰提取自私鑰 
## -des3為加密方式 
## 2048為生成秘鑰長度 
## 可以加上-nodes參數(shù)，禁止進(jìn)行加密，即可不運行下面的消除密碼

消除私鑰key的密碼
openssl rsa -in myCA.key -out myCA.key
生成pem文件
openssl req -utf8 -x509 -new -nodes -key myCA.key -sha256 -days 825 -out myCA.pem

2、創(chuàng)建CA簽名證書

生成私鑰
openssl genrsa -out server.key 2048

創(chuàng)建證書簽名請求

openssl req -new -key server.key -out server.csr
##Common Name應(yīng)該與域名保持一致，否則會引起瀏覽器警告

為擴(kuò)展創(chuàng)建一個配置文件

>server.ext cat <<-EOF 
authorityKeyIdentifier=keyid,issuer 
basicConstraints=CA:FALSE 
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment 
subjectAltName = @alt_names 
[alt_names] 
DNS.1 = www.baidu.com # Be sure to include the domain name here because Common Name is not so commonly honoured by itself 
DNS.2 = www.sougou.com # Optionally, add additional domains (I've added a subdomain here) 
IP.1 = 192.168.1.1  # Optionally, add an IP address (if the connection which you have planned requires it) EOF 
## chrome 會查看當(dāng)前域名是否在證書中聲明，該聲明由 subjectAltName 字段設(shè)置。上述的生成步驟默認(rèn)未設(shè)置該字段。

創(chuàng)建簽名證書
openssl x509 -req -in server.csr -CA myCA.pem -CAkey myCA.key -CAcreateserial -out server.crt -days 3650 -sha256 -extfile server.ext

得到所需證書文件
server.crt
server.key