# openssl ecparam -out EccCA.key -name prime256v1 -genkey
# openssl req -config openssl.cnf -key EccCA.key -new -out EccCA.req
# openssl x509 -req -in EccCA.req -signkey EccCA.key -out EccCA.pem
# openssl ecparam -out EccSite.key -name prime256v1 -genkey
# openssl req -config openssl.cnf -key EccSite.key -new -out EccSite.req
# openssl x509 -req -in EccSite.req -CA EccCA.pem -CAkey EccCA.key -out EccSite.pem -CAcreateserial
生成幾張用戶證書,然后用openssl pkcs12命令生成p12格式證書文件,然后導入到firefox中。
生成證書時,ECC曲線選擇的是prime256v1。之前有選過prime192v1,好像firefox不認,改了種曲線就好了。
生成站點證書或用戶證書時,也可以用ECC根證書頒發RSA證書,測試一樣能通過。
將私鑰秘cer證書合並成p12格式
1)生成pkcs12文件,但不包含CA證書:
openssl pkcs12 -export -inkey ocspserverkey.pem -in ocspservercert.pem -out ocspserverpkcs12.pfx
2) 生成pcs12文件,包含CA證書:
openssl pkcs12 -export -inkey server.key -in server.crt -CAfile ca.crt -chain -out server.pfx
3) 將pcks12中的信息分離出來,寫入文件:
openssl pkcs12 –in ocsp1.pfx -out certandkey.pem
4) 顯示pkcs12信息:
openssl pkcs12 –in ocsp1.pfx -info
------------------------------------
附: 1、把cert1.pem轉換成.p12格式
openssl pkcs12 -export -in cert1.pem -inkey cert1.key -certfile ca.pem -out cert1.p12
2、把cert1.pem轉換成.cer格式:只需把擴展名改為.cer即可.