windows使用openssl生成根證書及SSL證書籤發
網上找了很多生成命令,大都中間會出問題,我是在win10進行證書生成,踩過的坑進行記錄。
1 OpenSSL下載
最新的版本:https://github.com/openssl/openssl/archive/OpenSSL_1_1_1b.zip
2 windows下安裝及配置
安裝過程不寫了。
(1)配置主要是環境變量path,將openssl配置到環境變量裏,避免只能在bin目錄下才能執行。
(2)還有證書生成的時候,需要讀取cfg文件,配置參數OPENSSL_CONF:
(3)cfg文件修改
在證書籤發時,會讀取cfg文件,判斷一些證書序列號、證書是否簽發等等的信息,需要在文件裏進行配置,而且win10對C盤讀寫權限要求太高,建議直接將一些路徑寫到其他盤符。下面紅框圈出來的參數,會用到,按照自己的情況創建即可。尤其是serial這個文件,會讀取你已有的證書序列號,依次往後生成,嫌麻煩就直接寫0,正常點應該是16進制的證書序列號,一般10多位。index.txt可以寫一個空文件,是用於記錄證書信息的。
3 簽發命令
(1)生成自己的根證書
##生成根CA密鑰
openssl genrsa -out ca.key 2048
##生成CA根證書
openssl req -new -x509 -days 7304 -key ca.key -out ca.crt -subj "/C=CN/ST=shandong/L=jinan/O=My SSL G1/OU=IT Dept/CN=My SSL G1 Server"
(2)生成服務器證書密鑰及證書籤發
##生成SSL證書私鑰:
openssl genrsa -out server_domain.pem 2048
##製作SSL證書私鑰
openssl rsa -in server_domain.pem -out server_domain.key
##生成SSL證書請求
openssl req -new -key server_domain.pem -out server_domain.csr -subj "/C=CN/ST=shandong/L=jinan/O=my domain test/OU=IT Dept/CN=my domain"
##根CA進行SSL證書籤發
openssl ca -policy policy_anything -days 3652 -cert ca.crt -keyfile ca.key -in server_domain.csr -out server_domain.crt
4 OK啦
