详解如何使用openssl创建自签名证书.docx

第

详解如何使用openssl创建自签名证书

目录概览证书的结构证书验签创建根证书创建根密钥ca.key.pem创建根证书ca.crt.pem*创建根证书ca.csr.pemca.crt.pem查看根证书创建服务器证书创建服务器密钥server.key.pem配置文件server.ini生成服务器端证书==请求文件==server.csr.pem生成服务器端证书server.crt.pem查看服务器端请求文件

概览证书的结构证书验签

创建根证书

创建根密钥ca.key.pem

$opensslgenrsa-des3-outca/ca.key.pem4096

GeneratingRSAprivatekey,4096bitlongmodulus(2primes)

.........................................................................................................................................................................++++

..........................................................++++

eis65537(0x010001)

Enterpassphraseforca.key.pem:

Verifying-Enterpassphraseforca.key.pem:

密码123456

我们在这儿使用RSA4096,因为根证书不经常使用，为了更好的安全性，我们使用较大的参数。

备注

生产环境一般都会有中间证书，我们这儿为了方便省略了中间证书的签发流程

-des使用descbc模式对私钥文件进行加密。

-des3使用des3cbc模式对私钥文件进行加密。需要输入密码，秘钥使用需要输入密码

-idea使用ideacbc模式对私钥文件进行加密

-out指定输出私钥文件名。

创建根证书ca.crt.pem

可以不用创建ca.csr.pem文件，直接生成ca.crt.pem文件，如果分成两步，见下一小节

现在我们使用刚创建的根密钥来创建我们的根证书:

$opensslreq-keyca/ca.key.pem-new-x509-days3650-sha256-outca/ca.crt-subj/C=CN/ST=ShanDong/CN=demo.toolbox/O=dzb

Enterpassphraseforca.key.pem:

req大致有3个功能：生成证书请求文件、验证证书请求文件和创建根CA

-config

-key指定私钥

-sha256哈希函数

-out输出的文件

-days有效期

-subj

subj子参数详解：

缩写翻译英文对照

C国家名称缩写CountryName(2lettercode)

ST州或省名称StateorProvinceName(fullname)

L城市或区域称LocalityName(eg,city)

O组织名（或公司名）OrganizationName(eg,company)

OU组织单位名称（或部门名）OrganizationalUnitName(eg,section)

CN服务器域名/证书拥有者名称CommonName(e.g.serverFQDNorYOURname)

emailAddress邮件地址Email

ca.crt的后缀名不加pem，是方便证书安装的时候，系统可以识别，后续的crt不需要安装，所以添加pem后缀，以区分格式

*创建根证书ca.csr.pemca.crt.pem

$opensslreq-new-keyca/ca.key.pem-sha256-outca/ca.csr.pem-subj/C=CN/ST=ShanDong/CN=demo.toolbox/O=dzb

Enterpassphraseforca.key.pem:

$opensslx509-req-days3650-inca/ca.csr.pem-signkeyca/ca.key.pem-outca/ca.crt

查看根证书

查