安装并使用 openssl 生成证书

1. 安装 openssl
参考链接:

OpenSSL加密算法库使用系列教程_openssl算法哭调用-CSDN博客

安装包下载地址: 安装包下载地址(正常情况需要将 openssl 源码下载后, 自己编译然后才可以使用, 这里提供了安装包版本的下载链接)

有4种安装包：

Win64 OpenSSL v1.1.1i Light，安装Win64 OpenSSL v1.1.1i最常用的软件包

Win64 OpenSSL v1.1.1i，安装Win64 OpenSSL v1.1.1i完整软件包

Win32 OpenSSL v1.1.1i Light，安装Win32 OpenSSL v1.1.1i最常用的软件包

Win32 OpenSSL v1.1.1i，安装Win32 OpenSSL v1.1.1i完整软件包

1.1 一般默认安装，但安装步骤中有一步，“Select Additional Tasks”，让选择OpenSSL的dll拷贝到什么地方，如下：

1.2 建议，不要拷贝到系统目录下，如果其他软件使用的OpenSSL版本与你安装这个版本不同，可能导致该软件无法使用。所以让这些dll待在OpenSSL安装目录下即可。

最后一步，是否捐款，如下：

1.3 验证安装是否正确

直接在cmd中，输入命令，查看OpenSSL版本

openssl version -a

结果，并不是我们安装的1.1.1i版

原因：如果电脑上已经安装过其他软件，比如Git、VMware、Strawberry等，那么他们都自带了openssl，如下：

所以，当你在cmd中使用openssl命令时，可能会调用到其他版本的openssl。

解决办法：将openssl 1.1.1i版本命令行工具路径添加到，系统变量Path第一条，以保证它首先被找到。

再次验证，查看OpenSSL版本正确。

2. 使用 openssl 生成自签名证书

使用 OpenSSL 来生成自签名证书。以下是一种常见的方法：

生成 CA 根证书: 对于同一个项目一般 1 只执行一次 (只有一套根证书)
生成服务端自签名证书: 执行下面 1、2 才能生成客户端自签名证书 (利用 CA 生成服务端证书).
生成客户端自签名证书: 1、3 才能生成服务端自签名证书 (利用 CA 生成客户端证书).

2.1. 生成 CA 根证书

2.1.1. 生成 CA 私钥（Private Key）：生成的文件在 cmd 当前目录下

openssl genpkey -algorithm RSA -out ca.key -pkeyopt rsa_keygen_bits:2048

上面命令解释

这个命令是用来生成 RSA 私钥的：

openssl genpkey：这是 OpenSSL 的一个命令，用于生成私钥。OpenSSL 是一个强大的安全套接字层密码库，包含了许多用于处理证书的实用工具。
-algorithm RSA：这个参数指定了要生成的私钥的类型，这里是 RSA。RSA 是一种常用的公钥加密算法。
-out ca.key：这个参数指定了生成的私钥文件的输出位置。私钥会被保存在名为 ca.key 的文件中。
-pkeyopt rsa_keygen_bits:2048：这个参数指定了 RSA 私钥的长度，这里是 2048 位。私钥的长度决定了加密的强度，长度越长，加密越强，但计算也越复杂。2048 位是目前广泛使用的长度，它提供了足够的安全性，同时不会对计算性能产生太大的影响。

所以，总的来说，这个命令就是生成一个 2048 位的 RSA 私钥，并将它保存在 ca.key 文件中。

验证生成 rsa 私钥正确性

openssl rsa -in 私钥文件(xxx.xxx) -check

eg:

D:\workspace\openssl>openssl rsa -in ca.key -check

RSA key ok

writing RSA key

-----BEGIN PRIVATE KEY-----

MIIEvAgEAAoIBAQCtycpFvPM0P2Ke...省略

-----END PRIVATE KEY-----

看到 RSA key ok 说明 RSA 私钥正确

2.1.2. 生成 CA 证书签名请求: 使用私钥生成证书签名请求（CSR，Certificate Signing Request）

openssl req -new -sha256 -key ca.key -subj "/C=CN/O=zz/CN=127.0.0.1" -out ca.csr

上面命令解释

openssl req -new：这是用来生成一个新的 CSR 的命令。
-sha256：这个参数表示使用 SHA-256 哈希算法。SHA-256 是一种安全哈希算法，它生成的哈希值的长度是 256 位。这比默认的 SHA-1 更安全，因为 SHA-1 的哈希值长度只有 160 位，而且已经被证明存在碰撞攻击的风险。
-key ca.key：这个参数指定了你的私钥文件的位置。这个私钥将被用来生成你的公钥和签名。
-subj "/C=US/ST=California/L=San Francisco/O=Your Company Name/CN=yourdomain.com"：这个参数指定了证书的主题信息. 这是一个 X.500 标准的字符串，用于唯一地标识证书的主体.

/C=: 国家名（Country Name）CN
/ST=：州或省份名（State or Province Name）
/L=：城市或区域名（Locality Name）
/O=：组织名（Organization Name）
/OU=：组织单位名（Organizational Unit Name）
/CN=：公用名（Common Name）127.0.0.1(或 yourdomain.com)
/emailAddress=：电子邮件地址

-out ca.csr：这个参数指定了生成的 CSR 文件的输出位置。

2.1.3. 生成 CA 根证书：使用刚才生成的私钥和 CSR 来生成根证书：

openssl x509 -req -days 365 -sha256 -in ca.csr -signkey ca.key -CAcreateserial -out ca.crt

这个命令将生成一个有效期为 365 天的证书。

注意，这个证书是自签名的，所以它不会被任何公认的证书颁发机构（CA）信任。如果想要一个被公认的 CA 信任的证书，需要将刚才生成的 CSR 发送给一个 CA，并按照他们的指示来获取证书。

上面命令解释

这个命令是用来生成自签名的 X.509 证书的。下面是每个部分的详细解释：

openssl x509：这是 OpenSSL 的一个命令，用于处理 X.509 证书。X.509 是一种常用的证书格式。OpenSSL 是一个强大的安全套接字层密码库，包含了许多用于处理证书的实用工具。
-req：这个参数指示 OpenSSL 从一个证书签名请求（CSR）生成一个证书。
-days 365：这个参数指定了证书的有效期，这里是 365 天。
-sha256：这个参数指定了用于签名证书的哈希算法，这里是 SHA-256。
-in ca.csr：这个参数指定了证书签名请求文件的位置，这里是 request.csr。
-signkey ca.key：这个参数指定了用于签名证书的私钥文件的位置，这里是 ca.key。
-CAcreateserial: 参数会告知OpenSSL为这个新的证书创建一个唯一的序列号
-out ca.crt：这个参数指定了生成的证书文件的输出位置，这里是 ca.crt。
-nodes 选项指示 OpenSSL 不要为私钥设置密码(这里没有使用)

所以，总的来说，这个命令就是从 ca.csr 文件中读取证书签名请求，使用 ca.key 文件中的私钥签名证书，然后将生成的证书保存在 ca.crt 文件中。证书的有效期是 365 天，签名算法是 SHA-256。

对 8 的解释: -nodes 是一个 OpenSSL 的命令行选项，它告诉 OpenSSL 在生成私钥文件时不要对其进行加密。如果没有这个选项，OpenSSL 默认会使用一个密码对私钥进行加密，这意味着每次使用这个私钥（例如，启动一个使用这个私钥的 HTTPS 服务器）时，都需要提供这个密码。

如果你使用 -nodes 选项，私钥文件就不会被加密，因此在使用私钥时不需要输入密码。这在自动化环境中很有用，例如，如果你正在配置一个自动启动的 HTTPS 服务器，你可能不希望在每次启动服务器时都需要手动输入密码。

然而，不加密私钥也有一些安全风险。任何可以访问私钥文件的人都可以使用这个私钥，因此你需要确保私钥文件的权限设置正确，以防止未经授权的访问。如果你的私钥文件被盗，攻击者可以使用它来冒充你的服务器，这可能导致各种安全问题。

2.1.4. 这步可以省略 - 生成 CA 公钥: 也可以使用刚才第一步生成的的私钥生成公钥（Public Key）：

openssl rsa -pubout -in ca.key -out ca.value

上面命令解释

这个命令用于从已存在的 RSA 私钥中提取出公钥。下面是每个部分的详细解释：

openssl rsa：这是 OpenSSL 的一个命令，用于处理 RSA 私钥。OpenSSL 是一个强大的安全套接字层密码库，包含了许多用于处理证书的实用工具。
-pubout：这个参数指示 OpenSSL 从私钥中提取出公钥。
-in ca.key：这个参数指定了私钥文件的位置，这里是 ca.key。
-out ca.value：这个参数指定了生成的公钥文件的输出位置，这里是 ca.value。

所以，总的来说，这个命令就是从 ca.key 文件中提取出公钥，并将它保存在 ca.value 文件中。

2.2 生成服务端自签名证书:

2.2.1. 生成服务端私钥（Private Key）：

openssl genpkey -algorithm RSA -out server.key -pkeyopt rsa_keygen_bits:2048

2.2.2. 生成服务端证书签名请求:

openssl req -new -sha256 -key server.key -subj "/C=CN/O=zz/CN=127.0.0.1" -out server.csr

2.2.3. 生成服务端证书

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365 -sha256

2.3 生成客户端自签名证书:(和 2 流程几乎一样, 只是名字变成 client)

2.3.1. 生成服务端私钥（Private Key）：

openssl genpkey -algorithm RSA -out client.key -pkeyopt rsa_keygen_bits:2048

2.3.2. 生成服务端证书签名请求:

openssl req -new -sha256 -key client.key -subj "/C=CN/O=zz/CN=127.0.0.1" -out client.csr

2.3.3. 生成服务端证书

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365 -sha256