如何使用openssl制作ca證書？最近做了CA登錄，用OpenSSL做證書。說真的，用OpenSSL的命令行做證書真的很不方便。首先，安裝OpenSSL，然后在控制臺中輸入一個冗長的命令。如果你不小

如何使用openssl制作ca證書？

最近做了CA登錄，用OpenSSL做證書。說真的，用OpenSSL的命令行做證書真的很不方便。

首先，安裝OpenSSL，然后在控制臺中輸入一個冗長的命令。如果你不小心，很容易出錯。即使你對命令行很熟悉，做了幾次還是會把命令的參數(shù)搞混。由于上述原因，

https證書生成的步驟？

1.生成證書請求文件CSR

用戶申請https證書的第一步是生成CSR證書請求文件。系統(tǒng)會生成兩個密鑰，一個是公鑰，一個是私鑰，會存儲在服務(wù)器中。要生成CSR文件，網(wǎng)站管理員可以參考WEB服務(wù)器的文本。文件、APACHE等。，使用OPENSSL命令行生成KeyCSR、Tomcat、JBoss、Resin等兩個文件。使用KEYTOOL生成JKS和CSR文件，IIS通過向?qū)?chuàng)建一個掛起的請求和一個C。SR文件。

2.將CSR提交給CA進行認(rèn)證。

CA機構(gòu)通常有兩種認(rèn)證方法:

(1)域名認(rèn)證，一般通過管理員郵箱認(rèn)證的，這種認(rèn)證速度快，但是頒發(fā)的證書中沒有企業(yè)名稱，只顯示網(wǎng)站域名，也就是我們常說的域名https證書。目前流行的沃通免費https證書也屬于域名。鍵入https證書。

(2)企業(yè)文件認(rèn)證要求提供企業(yè)營業(yè)執(zhí)照。國外https證書申請CA認(rèn)證一般需要1-5個工作日，國內(nèi)產(chǎn)品如沃通CA只需要1個小時，緊急情況下5分鐘，比國外https證書申請效率高很多。

同時以上兩種的證書都叫EV https證書，可以讓瀏覽器地址欄變綠，所以認(rèn)證也是最嚴(yán)格的。EV https證書多用于金融、電子商務(wù)、證券等對信息安全保護要求較高的領(lǐng)域。

3.獲取https證書并安裝它

收到CA頒發(fā)的https證書后，將https證書部署到服務(wù)器。一般情況下，APACHE文件直接將關(guān)鍵CER復(fù)制到文件中，然后修改文件TOMCAT等。將CA頒發(fā)的證書CER文件導(dǎo)入JKS文件后，回復(fù)。發(fā)送到服務(wù)器，然后修改服務(wù)器。XMLIIS需要處理未決的請求并導(dǎo)入CER文件。

如何使用OpenSSL工具生成根證書與應(yīng)用證書？

OpenSSL工具生成根證書和應(yīng)用證書的方法:

1.生成頂級CA的公鑰證書和私鑰文件，有效期10年(RSA 1024bits，默認(rèn))OpenSSL REQ-new-X509-days 3650-keyout-out。

2.刪除頂級CA的私鑰文件的保護密碼openssl rsa -in -out。

3.生成頂級CA的公鑰證書和私鑰文件，有效期15年(RSA 2048bits，指定)OpenSSL REQ-新密鑰RSA:2048-X509-days 5480-keyut。-Get out

4.刪除頂級CA的私鑰文件的保護密碼openssl rsa -in -out。

5.為應(yīng)用證書/中間證書生成私鑰文件openssl genrsa -out 2048。

6.根據(jù)私鑰文件為應(yīng)用證書/中間證書生成一個csr文件(證書請求文件)openssl req -new -key -out app.csr。

7.用CA的公私鑰文件對csr文件進行簽名，生成應(yīng)用證書，有效期5年:OpenSSL CA-in app . CSR-out-cert-keyfile-days 1826-policy p。Policy _ Anything

8.用CA的公私鑰文件對csr文件進行簽名，生成中間證書，有效期5年:OpenSSL CA-Extensions v3 _ CA-in app . CSR-out-cert-keyfile-d。Insurance policy of 1826 _ anything.

以上是生成根證書和應(yīng)用證書過程中用到的所有命令，根據(jù)生成目標(biāo)的不同分為三組。其中，前兩組都用于生成自簽名的頂級CA(唯一的區(qū)別是密鑰長度)，實際應(yīng)用中只需要根據(jù)需要選擇一組。最后一組用于生成非自簽名證書，包括中間證書和應(yīng)用程序證書。所謂中間證書，就是擁有繼續(xù)頒發(fā)下級證書權(quán)限的子CA，而本文所說的應(yīng)用證書是指不能用于繼續(xù)頒發(fā)下級證書，只能用于證明個人身份的證書。當(dāng)頂級CA發(fā)布兩者時，它僅-extensions v3_ca選項有多大區(qū)別，該選項賦予已頒發(fā)的證書繼續(xù)頒發(fā)更低級別的證書的權(quán)力。