一般情況下,如果能找到可用的證書,就可以直接使用,只不過會因證書的某些資訊不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效,但這並不影響使用。
需要手工生成證書的情況有:
找不到可用的證書
需要配置雙向ssl,但缺少客戶端證書
需要對證書作特別的定製
首先,無論是在linux下還是在windows下的cygwin中,進行下面的操作前都須確認已安裝openssl軟體包。
1. 建立根證書金鑰檔案(自己做ca)root.key:
openssl genrsa -des3 -out root.key輸出內容為:
verifying – enter pass phrase for root.key: ← 重新輸入一遍密碼
2. 建立根證書的申請檔案root.csr:
openssl req -new -key root.key -out root.csr輸出內容為:
email address :[email protected] ← 電子郵箱,可隨意填
an optional company name : ← 可以不輸入
3. 建立乙個自當前日期起為期十年的根證書root.crt:
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt輸出內容為:
enter pass phrase for root.key: ← 輸入前面建立的密碼
4. 建立伺服器證書金鑰server.key:
openssl genrsa –des3 -out server.key 2048輸出內容為:
e is 65537 (0×10001)
openssl rsa -in server.key -out server.key
5.建立伺服器證書的申請檔案server.csr:
openssl req -new -key server.key -out server.csr輸出內容為:
email address :[email protected] ← 電子郵箱,可隨便填
an optional company name : ← 可以不輸入
6. 建立自當前日期起有效期為期兩年的伺服器證書server.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -ca root.crt -cakey root.key -cacreateserial -in server.csr -out server.crt輸出內容為:
enter pass phrase for root.key: ← 輸入前面建立的密碼
7. 建立客戶端證書金鑰檔案client.key:
openssl genrsa -des3 -out client.key 2048輸出內容為:
verifying – enter pass phrase for client.key: ← 重新輸入一遍密碼
8. 建立客戶端證書的申請檔案client.csr:
openssl req -new -key client.key -out client.csr輸出內容為:
email address :[email protected] ← 電子郵箱,可以隨便填
an optional company name : ← 可以不填
9. 建立乙個自當前日期起有效期為兩年的客戶端證書client.crt:
openssl x509 -req -days 730 -sha1 -extensions v3_req -ca root.crt -cakey root.key -cacreateserial -in client.csr -out client.crt輸出內容為:
enter pass phrase for root.key: ← 輸入上面建立的密碼
10. 將客戶端證書檔案client.crt和客戶端證書金鑰檔案client.key合併成客戶端證書安裝包client.pfx:
openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx輸出內容為:
verifying – enter export password: ← 確認密碼
11. 儲存生成的檔案備用,其中server.crt和server.key是配置單向ssl時需要使用的證書檔案,client.crt是配置雙向ssl時需要使用的證書檔案,client.pfx是配置雙向ssl時需要客戶端安裝的證書檔案
.crt檔案和.key可以合到乙個檔案裡面,把2個檔案合成了乙個.pem檔案(直接拷貝過去就行了)
ssl證書生成
openssl req new x509 days 3650 nodes out opt ssl certs postfix.pem keyout opt ssl private postfix.pem第乙個是證書,第二個是key 私鑰 可以應用在很多程式上。下面舉兩個例子 nginx postfi...
es證書生成方式
bin elasticsearch certutil ca pem 生成乙個名字叫做elastic stack ca.zip的檔案 unzip elastic stack ca.zip archive elastic stack ca.zip creating ca inflating ca ca....
SSL自簽署證書生成指令碼
view plain print?bin sh ssl 證書輸出的根目錄。ssloutputroot etc apache ssl if eq 1 then ssloutputroot 1 fi if d then mkdir p fi cd echo 開始建立ca根證書.建立ca根證書,稍後用來簽...