openssl生成ca证书命令详解 如何使用openssl制作ca证书？

如何使用openssl制作ca证书？最近做了CA登录，用OpenSSL做证书。说真的，用OpenSSL的命令行做证书真的很不方便。首先，安装OpenSSL，然后在控制台中输入一个冗长的命令。如果你不小

如何使用openssl制作ca证书？

最近做了CA登录，用OpenSSL做证书。说真的，用OpenSSL的命令行做证书真的很不方便。

首先，安装OpenSSL，然后在控制台中输入一个冗长的命令。如果你不小心，很容易出错。即使你对命令行很熟悉，做了几次还是会把命令的参数搞混。由于上述原因，

https证书生成的步骤？

1.生成证书请求文件CSR

用户申请https证书的第一步是生成CSR证书请求文件。系统会生成两个密钥，一个是公钥，一个是私钥，会存储在服务器中。要生成CSR文件，网站管理员可以参考WEB服务器的文本。文件、APACHE等。，使用OPENSSL命令行生成KeyCSR、Tomcat、JBoss、Resin等两个文件。使用KEYTOOL生成JKS和CSR文件，IIS通过向导创建一个挂起的请求和一个C。SR文件。

2.将CSR提交给CA进行认证。

CA机构通常有两种认证方法:

(1)域名认证，一般通过管理员邮箱认证的，这种认证速度快，但是颁发的证书中没有企业名称，只显示网站域名，也就是我们常说的域名https证书。目前流行的沃通免费https证书也属于域名。键入https证书。

(2)企业文件认证要求提供企业营业执照。国外https证书申请CA认证一般需要1-5个工作日，国内产品如沃通CA只需要1个小时，紧急情况下5分钟，比国外https证书申请效率高很多。

同时以上两种的证书都叫EV https证书，可以让浏览器地址栏变绿，所以认证也是最严格的。EV https证书多用于金融、电子商务、证券等对信息安全保护要求较高的领域。

3.获取https证书并安装它

收到CA颁发的https证书后，将https证书部署到服务器。一般情况下，APACHE文件直接将关键CER复制到文件中，然后修改文件TOMCAT等。将CA颁发的证书CER文件导入JKS文件后，回复。发送到服务器，然后修改服务器。XMLIIS需要处理未决的请求并导入CER文件。

如何使用OpenSSL工具生成根证书与应用证书？

OpenSSL工具生成根证书和应用证书的方法:

1.生成顶级CA的公钥证书和私钥文件，有效期10年(RSA 1024bits，默认)OpenSSL REQ-new-X509-days 3650-keyout-out。

2.删除顶级CA的私钥文件的保护密码openssl rsa -in -out。

3.生成顶级CA的公钥证书和私钥文件，有效期15年(RSA 2048bits，指定)OpenSSL REQ-新密钥RSA:2048-X509-days 5480-keyut。-Get out

4.删除顶级CA的私钥文件的保护密码openssl rsa -in -out。

5.为应用证书/中间证书生成私钥文件openssl genrsa -out 2048。

6.根据私钥文件为应用证书/中间证书生成一个csr文件(证书请求文件)openssl req -new -key -out app.csr。

7.用CA的公私钥文件对csr文件进行签名，生成应用证书，有效期5年:OpenSSL CA-in app . CSR-out-cert-keyfile-days 1826-policy p。Policy _ Anything

8.用CA的公私钥文件对csr文件进行签名，生成中间证书，有效期5年:OpenSSL CA-Extensions v3 _ CA-in app . CSR-out-cert-keyfile-d。Insurance policy of 1826 _ anything.

以上是生成根证书和应用证书过程中用到的所有命令，根据生成目标的不同分为三组。其中，前两组都用于生成自签名的顶级CA(唯一的区别是密钥长度)，实际应用中只需要根据需要选择一组。最后一组用于生成非自签名证书，包括中间证书和应用程序证书。所谓中间证书，就是拥有继续颁发下级证书权限的子CA，而本文所说的应用证书是指不能用于继续颁发下级证书，只能用于证明个人身份的证书。当顶级CA发布两者时，它仅-extensions v3_ca选项有多大区别，该选项赋予已颁发的证书继续颁发更低级别的证书的权力。