openssl——自签名根证书、签名客户端和服务器证书

openssl genrsa -out rootkey 2048

也可以是pem文件，也可为了区分这是私钥而改用key后缀名，内容如下：

查看详细解析：包含两个大素数和两个指数和一个系数

openssl rsa -in rootkey -text

可通过命令提取公钥：

openssl rsa -pubout -in rootkey

openssl req -new -out root-reqcsr -key rootkey -keyform PEM

-keyform PEM：证书有pem和der格式之分，前者文本，多用于java和windows服务器，后者二进制

CSR是Certificate Signing Request的英文缩写，即证书请求文件

openssl x509 -req -in root-reqcsr -out root-certcer -signkey rootkey -CAcreateserial -days 365

-CAcreateserial ，创建证书序列号，使用此选项，当CA序列号文件不存在时将被创建：它将包含序列号“02”，正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在，则会出现错误。

-days 据说3650天有时候会意外导致证书验证失败，没遇到过

此处可有pem、crt、cer多种输出格式，其实内容都一样，来试一下：

每次生成的证书都不一样，但是未发现不同后缀名下的证书格式不同。

我的理解：

pem是最基本的编码格式，der也相同。

CRT文件是由第三方证书颁发机构（例如VeriSign或DigiCert）提供和生成的安全文件，ASCII编码格式。

cer是crt的微软形式。

为了统一，全使用cer格式。

可选择将证书和私钥导入密钥库，通常用p12和jks（ Java Key Store）格式：

openssl pkcs12 -export -in root-certcer -inkey rootkey -out rootp12 -name "lab"

需要加密保护， -name 设置别名

然后可选择使用keytool将p12转为jks格式，此处就不做转换了。

步骤基本相同

步骤基本相同

openssl genrsa -out server-keykey 2048

openssl req -new -out server-reqcsr -key server-keykey -keyform PEM

openssl x509 -req -in server-reqcsr -out server-certcer -CA F:\CERT\mycert\ test\openssl\win\root\root-certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360

openssl pkcs12 -export -in server-certcer -inkey server-keykey -out server p12 -name "lab-server"

运行环境要包含完整证书链。需要将证书链放到系统可信目录下。

为证书绑定ip，只能通过config文件，

文件如下可将常用参数写入，生成请求文件时直接enter即可：

使用配置文件时在生成请求文件和签发证书时的参数不同：
生成请求文件：
openssl req -new -out server-req1csr -key server-keykey -keyform PEM -extensions v3_req -config openssl cnf

签发证书：

openssl x509 -req -in server-req1csr -out server-cert1cer -CA F:\CERT\mycert\test\openssl\win\root\root- certcer -CAkey F:\CERT\mycert\test\openssl\win\root\rootkey -CAcreateserial -days 360 -extensions v3_req -extfile opensslcnf

默认证书链长度为2，使用中间ca签发时，中间ca的生成需要在配置文件中加修改长度参数：

[ v3_ca ]

basicConstraints = CA:true,pathlen:3

Note：
参考：
OpenSSL主配置文件opensslcnf
利用OpenSSL创建证书链并应用于IIS7
openssl系列文章： >

GlobalSign、DigiCert两大机构是目前比较好用的品牌。

解释原因：

赛门铁克出现问题后，GlobalSign列居首位，并且信任度机构，在古老的浏览器也会被信任，并且是为一家拥有CRL中国节点服务器CA提供商。

DigiCert出名主要原因是收购赛门铁克数字证书业务，成为了目前主流SSL证书提供商，影响很大，旗下包括：GeoTrust、RapidSSL、Thawte比较亲民的SSL证书品牌，但根证书相同。

品牌好用的SSL证书：可以在Gworg申请，可选SSL证书类型比较多。

主要还是类型和价格上的区别吧，当然前提是正规的CA机构颁发的SSL证书才值得选购。推荐几家比较受欢迎的国际厂商给你。
一、Comodo
Comodo是世界上知名的SSL证书颁发机构，著名的网络安全软件厂商，致力于为个人和企业用户提供电子邮件安全、托管DNS、PKI管理、SSL证书、安全通讯以及许多其他服务，Comodo是确保互联网具有可靠和安全性的大型证书颁发机构之一。
Comodo
SSL证书保护服务器和客户端浏览器之间通信连接,保证传输和接收的数据的完整性，真实性以及安全性，使Comodo成为一个非常值得信赖的品牌。
二、Symantec
Symantec成立于1982年，全球安全领域的领导者，Symantec
SSL证书(前身为VeriSign)是全球公认最可靠证书颁发机构。90%的世界500强在使用Symantec
SSL证书，工农中建等银行以及大多数金融机构都在使用Symantec
SSL证书。服务于全球超过35个国家，拥有众多的企业、政府和个人用户。全球100家最大的金融机构中有90多家，北美500家最大的电子商务网站中75%的网站使用的都是赛门铁克的SSL证书。
三、GeoTrust
GeoTrust是世界第二大的数字安全提供者，是非常受欢迎，低廉的价格非常适合中小型企业，签发速度快并且提供高达256位SSL加密。现已超过150个国家的用户选择GeoTrust产品来保护他们的在线交易和各类在线业务，Geotrust的SSL证书和信任产品使各种规模的企业能够经济、高效、最大限度的提高其数字交易的安全性。
四、RapidSSL
Rapid是美国GeoTrust公司的一个面向低端用户而提供的简易版、快速签发、入门级SSL证书的品牌，主要应用于中小规模、入门级的电子商务网站。RapidSSL是GeoTrust公司的下属品牌，面向个人和小微企业提供廉价的SSL/TLS证书产品，不限制服务器安装数量。
作为一款域名型 GeoTrust DV SSL证书，RapidSSL申请简单，通常只需要10分钟就可以完成服务器证书的签发。

购买SSL证书建议选择国际知名大品牌，以下推荐几家给你。

一、DigiCert
国际知名SSL证书品牌之一。DigiCert自2003年成立以来，为客户带来了灵活多样的SSL产品。巨大的功能，包括强大的加密，严格而快速的验证，无限制的重新发行，SAN选项，保证价值的证书保修。无论您是从事小型企业还是大型企业，您都可以在DigiCert上找到有价值的SSL证书，并在SSL产品类别中找到多样化的产品。
二、Comodo（科摩多）
全球公认的最佳SSL证书提供商之一。Comodo适用于各种业务，包括家庭和商业环境，受到全球数百万公司的信赖。使用256位加密，证书可以被所有浏览器识别。SSL证书类型丰富，可以有效地满足多种类型网站的安全需求。
三、Symantec（赛门铁克）
Symantec是全球领先的SSL证书申请机构，可为企业型网站提供广泛的SSL安全产品，只提供高端的SSL证书：OV SSL证书和EV SSL证书。超过一百万的Web用户信任Symantec，并使用其SSL证书来保护其Web服务器。
四、GeoTrust
全球最大数字证书颁发机构(CA)之一，现在已经属于 DigiCert 旗下品牌。在全球150多个国家有超过10万个用户。 GeoTrust 给用户提供 DV、OV、EV三个等级的SSL证书，单张证书支持 1-250 个域名，也可以将多个通配符域名整合在一张证书中，实现更加高效的管理，也是目前性价比较高的全能型SSL证书品牌。

---