OpenSSL生成证书详解 如何使用OpenSSL生成自签证书 转载

原文：http://my.oschina.net/fajar/blog/425478

使用OpenSSL生成自签证书（亲测）

一，前言

读过我博客的小伙伴儿都知道，我一般在前言里面会提到为什么写这篇博客，这次的理由是：公司让我写个证书与商业合作伙伴在交换数据时进行签名和加密。

需求：

生成一对 RSA 钥匙，公钥采用 X。509 进行加密，私钥采用 PKCS8 进行加密， 字节长度为 1024

二，准备工作

1，下载OpenSSL在window 7下的安装包，可以从我网盘下载 http://pan.baidu.com/s/1jGJ3EtC

2，下载OpenSSL执行命令时需要提供的配置文件，参考本人网盘 http://pan.baidu.com/s/1jG06KFs

三，实战

1，执行OpenSSL的安装程序，例如我安装在 D:\MySoftware\OpenSSL-Win64

2，设置环境变量

OPENSSL_HOME = D:\MySoftware\OpenSSL-Win64 （你需要把地址替换你安装文件夹）

Path = Path + ; + OPENSSL_HOME （在配环境变量时一定要注意 ;）

3，创建一个你将用来创建证书的目录，例如我的是 F:\Test

4，文件和目录补齐（如果不补齐在自签证书时会报找不到文件的错）

在你创建证书的目录下，手动创建如下文件（文件作用附加在文件名后面）

index.txt  OpenSSL在创建自签证书时会向该文件里写下索引

database.txt  OpenSSL会模拟数据库将一些敏感信息写在该文件里

serial.txt  创建该文件后，请编辑在第一行写下 01

注意： 这里提到的所有文件必须补齐，并且文件名不得更改 ！

5，开始敲命令吧

a，生成 CA 根证书，做签名使用的，因为我们是自己给自己签名嘛！

openssl genrsa -des3 -out root.key 1024

这个时候会让你输入两次根证书的密码，根证书嘛肯定是要保密的

b，生成 CA 的自签证书

openssl req -new -x509 -key root.key -out root.crt -days 365 -config openssl.conf

这个时候会让你输入一些组织信息，请记住，你现在输入的信息和你接下来要签名的信息一致

c，同样的道理生成服务器端私钥

openssl genrsa -out server.key 1024

d，生成服务器端签名请求文件

openssl req -new -key server.key -out server.csr -config openssl.conf

同样会让你输入一个组织信息，记得跟根证书一致

e，利用 CA 进行签名证书

openssl ca -in server.csr -out server.crt -keyfile root.key -cert root.crt -days 365 -config openssl.conf

到底我们的证书生成完成！但是有些格式不是我们需要的，请看接下俩格式转换

6，常用格式转换

a，得到 pfx 格式的私钥

openssl pkck12 -export -out server.pfx -inkey server.key -in server.crt

b，从pfx文件中分离出 cer 格式的公钥

openssl x509 -inform pem -in server.crt -outform der -out server_public.cer

三，总结

留下文章让自己有个参考，欢迎大家一起交流！ QQ : 690649714