如何使用openssl制作ca證書(shū)？最近做了CA登錄，用OpenSSL做證書(shū)。說(shuō)真的，用OpenSSL的命令行做證書(shū)真的很不方便。首先，安裝OpenSSL，然后在控制臺(tái)中輸入一個(gè)冗長(zhǎng)的命令。如果你不小

如何使用openssl制作ca證書(shū)？

最近做了CA登錄，用OpenSSL做證書(shū)。說(shuō)真的，用OpenSSL的命令行做證書(shū)真的很不方便。

首先，安裝OpenSSL，然后在控制臺(tái)中輸入一個(gè)冗長(zhǎng)的命令。如果你不小心，很容易出錯(cuò)。即使你對(duì)命令行很熟悉，做了幾次還是會(huì)把命令的參數(shù)搞混。由于上述原因，

https證書(shū)生成的步驟？

1.生成證書(shū)請(qǐng)求文件CSR

用戶申請(qǐng)https證書(shū)的第一步是生成CSR證書(shū)請(qǐng)求文件。系統(tǒng)會(huì)生成兩個(gè)密鑰，一個(gè)是公鑰，一個(gè)是私鑰，會(huì)存儲(chǔ)在服務(wù)器中。要生成CSR文件，網(wǎng)站管理員可以參考WEB服務(wù)器的文本。文件、APACHE等。，使用OPENSSL命令行生成KeyCSR、Tomcat、JBoss、Resin等兩個(gè)文件。使用KEYTOOL生成JKS和CSR文件，IIS通過(guò)向?qū)?chuàng)建一個(gè)掛起的請(qǐng)求和一個(gè)C。SR文件。

2.將CSR提交給CA進(jìn)行認(rèn)證。

CA機(jī)構(gòu)通常有兩種認(rèn)證方法:

(1)域名認(rèn)證，一般通過(guò)管理員郵箱認(rèn)證的，這種認(rèn)證速度快，但是頒發(fā)的證書(shū)中沒(méi)有企業(yè)名稱，只顯示網(wǎng)站域名，也就是我們常說(shuō)的域名https證書(shū)。目前流行的沃通免費(fèi)https證書(shū)也屬于域名。鍵入https證書(shū)。

(2)企業(yè)文件認(rèn)證要求提供企業(yè)營(yíng)業(yè)執(zhí)照。國(guó)外https證書(shū)申請(qǐng)CA認(rèn)證一般需要1-5個(gè)工作日，國(guó)內(nèi)產(chǎn)品如沃通CA只需要1個(gè)小時(shí)，緊急情況下5分鐘，比國(guó)外https證書(shū)申請(qǐng)效率高很多。

同時(shí)以上兩種的證書(shū)都叫EV https證書(shū)，可以讓瀏覽器地址欄變綠，所以認(rèn)證也是最嚴(yán)格的。EV https證書(shū)多用于金融、電子商務(wù)、證券等對(duì)信息安全保護(hù)要求較高的領(lǐng)域。

3.獲取https證書(shū)并安裝它

收到CA頒發(fā)的https證書(shū)后，將https證書(shū)部署到服務(wù)器。一般情況下，APACHE文件直接將關(guān)鍵CER復(fù)制到文件中，然后修改文件TOMCAT等。將CA頒發(fā)的證書(shū)CER文件導(dǎo)入JKS文件后，回復(fù)。發(fā)送到服務(wù)器，然后修改服務(wù)器。XMLIIS需要處理未決的請(qǐng)求并導(dǎo)入CER文件。

如何使用OpenSSL工具生成根證書(shū)與應(yīng)用證書(shū)？

OpenSSL工具生成根證書(shū)和應(yīng)用證書(shū)的方法:

1.生成頂級(jí)CA的公鑰證書(shū)和私鑰文件，有效期10年(RSA 1024bits，默認(rèn))OpenSSL REQ-new-X509-days 3650-keyout-out。

2.刪除頂級(jí)CA的私鑰文件的保護(hù)密碼openssl rsa -in -out。

3.生成頂級(jí)CA的公鑰證書(shū)和私鑰文件，有效期15年(RSA 2048bits，指定)OpenSSL REQ-新密鑰RSA:2048-X509-days 5480-keyut。-Get out

4.刪除頂級(jí)CA的私鑰文件的保護(hù)密碼openssl rsa -in -out。

5.為應(yīng)用證書(shū)/中間證書(shū)生成私鑰文件openssl genrsa -out 2048。

6.根據(jù)私鑰文件為應(yīng)用證書(shū)/中間證書(shū)生成一個(gè)csr文件(證書(shū)請(qǐng)求文件)openssl req -new -key -out app.csr。

7.用CA的公私鑰文件對(duì)csr文件進(jìn)行簽名，生成應(yīng)用證書(shū)，有效期5年:OpenSSL CA-in app . CSR-out-cert-keyfile-days 1826-policy p。Policy _ Anything

8.用CA的公私鑰文件對(duì)csr文件進(jìn)行簽名，生成中間證書(shū)，有效期5年:OpenSSL CA-Extensions v3 _ CA-in app . CSR-out-cert-keyfile-d。Insurance policy of 1826 _ anything.

以上是生成根證書(shū)和應(yīng)用證書(shū)過(guò)程中用到的所有命令，根據(jù)生成目標(biāo)的不同分為三組。其中，前兩組都用于生成自簽名的頂級(jí)CA(唯一的區(qū)別是密鑰長(zhǎng)度)，實(shí)際應(yīng)用中只需要根據(jù)需要選擇一組。最后一組用于生成非自簽名證書(shū)，包括中間證書(shū)和應(yīng)用程序證書(shū)。所謂中間證書(shū)，就是擁有繼續(xù)頒發(fā)下級(jí)證書(shū)權(quán)限的子CA，而本文所說(shuō)的應(yīng)用證書(shū)是指不能用于繼續(xù)頒發(fā)下級(jí)證書(shū)，只能用于證明個(gè)人身份的證書(shū)。當(dāng)頂級(jí)CA發(fā)布兩者時(shí)，它僅-extensions v3_ca選項(xiàng)有多大區(qū)別，該選項(xiàng)賦予已頒發(fā)的證書(shū)繼續(xù)頒發(fā)更低級(jí)別的證書(shū)的權(quán)力。