openssl genrsa -out root.key 2048 也可以是pem文件,也可为了区分这是私钥而改用key后缀名,内容如下: 查看详细解析:包含两个大素数和两个指数和一个系数 openssl rsa -in root.key -text 可通过命令提取公钥: openssl rsa -pubout -in root.key openssl req -new -out root-req.csr -key root.key -keyform PEM -keyform PEM:证书有pem和der格式之分,前者文本,多用于java和windows服务器,后者二进制 CSR是Certificate Signing Request的英文缩写,即证书请求文件 openssl x509 -req -in root-req.csr -out root-cert.cer -signkey root.key -CAcreateserial -days 365 -CAcreateserial ,创建证书序列号,使用此选项,当CA序列号文件不存在时将被创建:它将包含序列号“02”,正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在,则会出现错误。 -days 据说3650天有时候会意外导致证书验证失败,没遇到过 此处可有pem、crt、cer多种输出格式,其实内容都一样,来试一下: 每次生成的证书都不一样,但是未发现不同后缀名下的证书格式不同。 我的理解: pem是最基本的编码格式,der也相同。 CRT文件是由第三方证书颁发机构(例如VeriSign或DigiCert)提供和生成的安全文件,ASCII编码格式。 cer是crt的微软形式。 为了统一,全使用cer格式。 可选择将证书和私钥导入密钥库,通常用p12和jks( Java Key Store)格式: openssl pkcs12 -export -in root-cert.cer -inkey root.key -out root.p12 -name "lab" 需要加密保护, -name 设置别名 然后可选择使用keytool将p12转为jks格式,此处就不做转换了。 步骤基本相同 步骤基本相同 openssl genrsa -out server-key.key 2048 openssl req -new -out server-req.csr -key server-key.key -keyform PEM openssl x509 -req -in server-req.csr -out server-cert.cer -CA F:CERTmycert testopensslwin
oot
oot-cert.cer -CAkey F:CERTmycert estopensslwin
oot
oot.key -CAcreateserial -days 360 openssl pkcs12 -export -in server-cert.cer -inkey server-key.key -out server. p12 -name "lab-server" 运行环境要包含完整证书链。需要将证书链放到系统可信目录下。 为证书绑定ip,只能通过config文件, 文件如下【可将常用参数写入,生成请求文件时直接enter即可】: 使用配置文件时在生成请求文件和签发证书时的参数不同: 生成请求文件: openssl req -new -out server-req1.csr -key server-key.key -keyform PEM -extensions v3_req -config openssl. cnf 签发证书: openssl x509 -req -in server-req1.csr -out server-cert1.cer -CA F:CERTmycert estopensslwin
oot
oot- cert.cer -CAkey F:CERTmycert estopensslwin
oot
oot.key -CAcreateserial -days 360 -extensions v3_req -extfile openssl.cnf 默认证书链长度为2,使用中间ca签发时,中间ca的生成需要在配置文件中加修改长度参数: [ v3_ca ] basicConstraints = CA:true,pathlen:3 Note: 参考: OpenSSL主配置文件openssl.cnf 利用OpenSSL创建证书链并应用于IIS7 openssl系列文章: http://www.cnblogs.com/f-ck-need-u/p/7048359.html