網上關於生成SSL證書文件的方法有很多,但我查了幾個,發現有或多或少的錯誤,如下我圖文並茂的展示,親測無任何問題,分享給大家,謝謝。
1、創建根證書密鑰文件(自己做CA)root.key
openssl genrsa -des3 -out root.key (密碼:xinghuo)
2、
創建根證書的申請文件root.csr:
openssl req -new -key root.key -out root.csr
3、
創建一個自當前日期起為期十年的根證書root.crt:
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
4、
創建服務器證書密鑰server.key:
openssl genrsa -out server.key 2048
5、
創建服務器證書的申請文件server.csr:
openssl req -new -key server.key -out server.csr
6、
創建自當前日期起有效期為期兩年的服務器證書server.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
7、創建客戶端證書密鑰文件client.key:
openssl genrsa -des3 -out client.key 2048
8、
創建客戶端證書的申請文件client.csr:
openssl req -new -key client.key -out client.csr
9、
創建一個自當前日期起有效期為兩年的客戶端證書client.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt
10、
將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx:
11、保存生成的文件備用,其中
server.crt和
server.key是配置單向SSL時需要使用的證書文件,
client.crt是配置雙向SSL時需要使用的證書文件,
client.pfx是配置雙向SSL時需要客戶端安裝的證書文件
.crt文件和.key可以合到一個文件里面,把2個文件合成了一個.pem文件(直接拷貝過去就行了)