如何安装openssl

先安装一个perl5，记得注册环境变量。

然后使用cmd进入到你的openssl目录。

输入perl Configure VC-WIN32，回车

然后是输入ms\do_ms.bat，回车

最后是nmake -f ms\ntdll.mak，回车

所有的执行完之后，可以在你的没举openssl目录下发现新增的三个文件夹：

inc32,out32dll,tmp32dll，其慎亮中inc32存放的是对应的头文件，out32dll中存放的是一些库文件和应用程序。

另外在安装之前，确保你的系统中已经枯孝碧安装了VC6、VS2005、VS2008或者VS2010等编译器中的任意一款。而且保证这些IDE都已经注册了环境变量。

一、准备工作

1.windows2003添加组件

添加IIS：勾选“应用程序服务器”，然后双击进入下图，勾选“IIS”和“ASP.NET”

添加证书系统：勾选“证书服务”

添加组件的时候要求填写的就按照 *** 作填上就行了，然后下一步，直到完成。

2.把openssl(执行版，有的叫编译后版)解压到d:下，当然哪个盘都可以。

二、获取IIS证书请求

架设好IIS网站后，在【目录安全性】选项卡中点击【服务器证书】按钮，【下一步】，【新建证书】，【现在准备证书请求－－下一步】，输入【名称】,输入【单位】和【部门】，输入【公用名称】，选择【国家】并输入【省】和【市县】并【下一步】，【下一步】，【下一步】，【完成】，IIS的证书请求已经获取，就是C:\certreq.txt。这里请牢记输入的信息。

三、开始 *** 作openssl

（cmd –>d:\openssl-0.9.7\out32dll

下执行下面的 *** 作，注意openssl.cnf文件，后面命令都是用它编译的）

1.生成自签名根证书

openssl

req -x509 -newkey rsa:1024 -keyout cakey.pem -out cacert.pem -days 3650 -config

d:\openssl-0.9.7\apps\openssl.cnf

PEM pass phrase：根证书密码，当然很重要！

Country

Name: CN //两个字母的国家代号

State or Province Name: guang dong //省份名称

Locality

Name: guang zhou //城市名称

Organization Name: sunrising //公司名称

Organizational Unit Name: home //部门名称

Common Name: besunny

//你的姓名(要是生成服务器端的证书一定要输入域名或者ip地址)

Email Address: Email地址

2.把cakey.pem 拷贝到\demoCA\private,

把cacert.pem拷贝到out32dll\demoCA

copy cakey.pem

demoCA\private

copy cacert.pem

demoCA

提醒：这时候，已经有cakey.pem:ca的私钥文件，歼数cacert.pem:ca的自签名根证书，certreq.txt:IIS的证书请求文件，三个文件。

3.用CA证书cacert.pem为IIS请求certreq.txt签发证书server.pem

openssl ca -in certreq.txt -out server.pem -config

d:\openssl-0.9.7\apps\openssl.cnf

4.把server.pem转换成x509格式

openssl

x509 -in server.pem -out

server.cer

提醒：这时候，你又得到了两个文件，一个是server.pem，一个是server.cer。现在把bin下的server.cer复制到c:下。

5.将生成的证书server.cer导入到IIS

打开IIS，在【默认网站】上单击右键【属性】，在【目录安全性】选项卡中点击【服务器证书】按钮，【下一步】，选择【处理挂起的请求并安装证书】并【下一步】，正常情况下，您已经看到了文本框中就是c:\server.cer，如果不是，自己点【浏览】按钮去找并【下一步】，【下一步】，【完成】。老启回到【目录安全性】选项卡在【安全通信】栏目中单击【编辑】按钮，勾上【要求安全通道(SSL)】，勾上【要求128位加密】，选择【要求客户端证书】，点击【确定】按钮。

6.生成客户端侍改如证书

openssl

req -newkey rsa:1024 -keyout clikey.pem -out clireq.pem -days 365 -config

d:\openssl-0.9.7\apps\openssl.cnf

证书信息自己填写，有些内容要与根证书一致。

7.CA签发客户端证书

openssl ca -in

clireq.pem -out client.crt -config d:\openssl-0.9.7\apps\openssl.cnf

8.将客户端证书转换为pk12格式

openssl pkcs12 -export -clcerts -in client.crt -inkey clikey.pem -out

client.p12 -config d:\openssl-0.9.7\apps\openssl.cnf

9.安装信任的根证书

把cacert.pem改名为cacert.cer，双击cacert.cer文件，打开证书信息窗口，单击【安装证书】按钮，【下一步】。

提醒，下面是最关键的：

选择【将所有的证书放入下列存储区】，点击【浏览】按钮

[url=file:///C:/Documents][/url]

选择【受信任的根证书颁发机构】，勾选【物理存储区】，选择【受信任的根证书颁发机构】，点【本地计算机】，并点击【确定】，【下一步】，【完成】，【是】，根证书安装完毕！勾选【物理存储区”，选择“受信任的根证书颁发机构”，点“本地计算机”，然后点“确定”。

[url=file:///C:/Documents][/url]

“clent.crt”的安装也是上面相同的步骤。

10.安装客户端证书

找到client.p12文件拷贝到本地计算机，然后双击，【下一步】，【下一步】，输入客户端证书的密码并【下一步】，【下一步】，【完成】，【确定】。到此，客户端的证书也已经安完毕。

提醒：

最好把cacert.cer文件作为受新人的根证书安装到本地。我架设的是提供给内网使用的，所以Common

Name直接是内网IP，当然可以是域名，如果导入cacert.cer后，本地计算机就识别https://你的地址是可信任网站，直接由服务器就识别客户端的证书，然后就可以登陆了。

如果没有导入cacert.cer根证书，会提示下面的：

点“是”继续就可以了。然后还会d出选择客户端数字证书的提示框。

一、安装openssl

下载Openssl安装包并解压，推荐使用默认配置 make &&make install //编译及安装 ，openssl默认将被安装到/usr/local/ssl。

二、 让apache支持ssl，编译的时候，要指定ssl支持

静态方法即–enable-ssl=static –with-ssl=/usr/local/ssl

动态方法–enable-ssl=shared –with-ssl=/usr/local/ssl

其中第二种方法会在module/ 目录下生成 mod_ssl.so 模块，而静态不会有，当然第二种方法也需要在httpd.conf 中加入LoadModule ssl_module modules/mod_ssl.so

三、获取SSL证书

1）创建私钥。在创建证书请求之前，您需要首先生成服务器证书私钥文件。

cd /usr/local/ssl/bin //进入openssl安装目录

openssl genrsa -out server.key 2048 //运行openssl命令，生成2048位长的私钥server.key文件。如果您需要对 server.key 添加保护密码，请使用 -des3 扩展命令。Windows环境下不支持加密格式私钥，Linux环境下使用加密格式私钥时，每次重启Apache都需要您输入该私钥密码（例：openssl genrsa -des3 -out server.key 2048）。

cp server.key /usr/local/apache/conf/ssl.key/

2）生成证书请求（CSR）文件

openssl req -new -key server.key -out certreq.csr

Country Name： //您所在国家的ISO标准代号，中国为察厅CN

State or Province Name： //您单位所在地省/自治区/直辖市

Locality Name： //您单位所在地的市/县/区

Organization Name： //您单位/机构/企业合法的名称

弊蚂Organizational Unit Name： //部门名租没埋称

Common Name： //通用名，例如：www.anxinssl.com。此项必须与您访问提供SSL服务的服务器时所应用的域名完全匹配。

Email Address： //您的邮件地址，不必输入，直接回车跳过

“extra”attributes //以下信息不必输入，回车跳过直到命令执行完毕。

3)备份私钥并提交证书请求

请将证书请求文件certreq.csr提交给安信证书，并备份保存证书私钥文件server.key，等待证书的签发。服务器证书密钥对必须配对使用，私钥文件丢失将导致证书不可用。

四、安装SSL证书

为保障服务器证书在客户端的兼容性，服务器证书需要安装两张中级CA证书(不同品牌证书，可能只有一张中级证书)。

从邮件中获取中级CA证书：

将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）粘贴到同一个记事本等文本编辑器中，中间用回车换行分隔。修改文件扩展名，保存为conf/ssl.crt/intermediatebundle.crt文件(如果只有一张中级证书，则只需要保存并安装一张中级证书)。

五、完成apache配置 2.0的配置

httpd.conf 中增加

Listen443

NameVirtualHost *:443

DocumentRoot “/data/web/www”

ServerName aaa.com:443

ErrorLog “logs/error.log”

CustomLog “logs/access.log” combined

SSLEngine on

SSLCertificateFile /usr/local/apache/conf/ssl.crt/server.crt

SSLCertificateKeyFile /usr/local/apache/conf/ssl.key/server.key

SSLCertificateChainFile /usr/local/apache/conf/ssl.crt/intermediatebundle.crt

---