如何生成CA证书？

创建根证书密钥文件(自己做CA)rootkey：

创建根证书的申请文件rootcsr：

创建一个自当前日期起为期十年的根证书rootcrt：

创建服务器证书密钥serverkey：

创建服务器证书的申请文件servercsr

创建自当前日期起有效期为期两年的服务器证书servercrt

创建客户端证书密钥文件clientkey

创建客户端证书的申请文件clientcsr

创建一个自当前日期起有效期为两年的客户端证书clientcrt

将客户端证书文件clientcrt和客户端证书密钥文件clientkey合并成客户端证书安装包clientpfx

保存生成的文件备用，其中servercrt和serverkey是配置单向SSL时需要使用的证书文件，clientcrt是配置双向SSL时需要使用的证书文件，clientpfx是配置双向SSL时需要客户端安装的证书文件 crt文件和key可以合到一个文件里面，把2个文件合成了一个pem文件（直接拷贝过去就行了）

x509证书一般会用到三类文，key，csr，crt。

Key是私用密钥openssl格，通常是rsa算法。

Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。

crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1key的生成

opensslgenrsa -des3 -out serverkey 2048

这样是生成rsa私钥，des3算法，openssl格式，2048位强度。serverkey是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:

opensslrsa -in serverkey -out serverkey

serverkey就是没有密码的版本了。

2生成CA的crt

opensslreq -new -x509 -key serverkey -out cacrt -days3650

生成的cacrt文件是用来签署下面的servercsr文件。

3csr的生成方法

opensslreq -new -key serverkey -outservercsr

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了>

4crt生成方法

CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。

opensslx509 -req -days 3650 -in servercsr -CA cacrt -CAkey serverkey-CAcreateserial -out servercrt

输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

最后生成了私用密钥：serverkey和自己认证的SSL证书：servercrt

证书合并：

catserverkey servercrt > serverpem

一、生成证书请求
进入IIS控制台
在“开始”菜单上，依次单击“所有程序”、“附件”和“运行”。
在“打开”框中，键入 inetmgr，然后单击“确定”。
点击对应机器主页，然后选择“服务器证书”。
创建证书请求
进入服务器证书配置页面，并选择“创建证书申请”，填写相关信息，点击“下一步”。

选择加密服务提供程序，并设置证书密钥长度，EV证书需选择位长2048，点击“下一步”。
保存证书请求文件到txt文件（如申请证书，如将此文件提交给相关机构）。
二、安装服务器证书
获取证书
在提交申请之后，会收到证书签发的邮件，在邮件中获取证书文件。
将证书签发邮件中的包含服务器证书代码的文本复制出来（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）粘贴到记事本等文本编辑器中并修改文件名，保存为为servercer。
中级CA证书：将证书签发邮件中的从BEGIN到 END结束的两张中级CA证书内容（包括“—–BEGIN CERTIFICATE—–”和“—–END CERTIFICATE—–”）分别粘贴到记事本等文本编辑器中，并修改文件扩展名，保存为intermediate1cer和intermediate2cer文件(如果您的服务器证书只有一张中级证书，则只需要保存并安装一张中级证书)。
安装中级CA证书
在“开始”菜单上，依次单击“所有程序”、“附件”和“运行”。
在“打开”框中，键入 mmc，然后单击“确定”。
打开控制台，点击“文件”之后点击“添加/删除管理单元”。

点击“证书”，然后点击“添加“。

选择“计算机账户”，点击“下一步” 。

选择“本地计算机”，点击“完成”。

点击“证书(本地计算机)”，选择“中级证书颁发机构”，“证书”。

在空白处点击右键，选择“所有任务”，然后点击“导入”。

通过证书向导分别导入中级CA证书intermediate1cer、intermediate2cer 。

选择“将所有的证书放入下列存储”，点击“下一步”，点击“完成”。


不建议给网站申请免费的SSL证书，毕竟天下没有免费的午餐。免费的SSL证书和付费的SSL证书还是有很多区别的，如下：

1、验证类型

免费SSL证书只有域名验证性型（DV SSL证书），而付费SSL证书有域名验证型（DV SSL证书）、企业验证型（OV SSL证书）、组织验证型（EV SSL证书）。

免费SSL证书仅需要域名验证不需要对企业和组织进行验证，因此留下了很大的安全漏洞和隐患。黑客只需验证域名信息就能轻松获得证书，从而为自己披上看似可信的外衣。此时的>

2、使用限制

免费SSL证书在使用时还有诸多限制，比如：免费SSL证书只能绑定单个域名、不支持通配符域名、多域名等。此时相关服务也会大打折扣，大多数免费的SSL证书都由用户自行安装，无法提供后期服务和技术支持，在遇到SSL证书安装问题时，也无法得到解决。

而提供付费SSL证书的商家，一般会提供申请购买到安装的一系列访问，后续出现问题，还找提供商寻求解决。

3、使用时间

免费SSL证书有效期过短，每三个月或者一个月就要更新一次，到期后还要自己申请，很多用户很容易就会忘记续期。

而付费SSL证书的使用年限一般是2年，不用时时刻刻担心证书过期的问题。

4、选择多样性

目前提供免费SSL证书的Lets Encrypt、Comodo等，而付费SSL证书选择性就大得多，Comodo、GeoTrust、Symantec、RapidSSL等知名CA机构。

---

>

欢迎分享，转载请注明来源：内存溢出

原文地址: http://outofmemory.cn/zz/12672962.html