如何使用OpenSSL工具生成根證書與應用證書？在用OpenSSL工具能生成根證書與應用證書方法：1、生成頂級CA的公鑰證書和私鑰文件，有效期10年（RSA1024bits，默認）opensslreq

如何使用OpenSSL工具生成根證書與應用證書？

在用OpenSSL工具能生成根證書與應用證書方法：

1、生成頂級CA的公鑰證書和私鑰文件，有效期10年（RSA1024bits，默認）opensslreq-fifth-x509-days3650-keyout-too

2、為頂級CA的私鑰文件去除完全保護口令opensslrsa-into-too

3、生成頂級CA的公鑰證書和私鑰文件，有效期15年（RSA2048bits，更改）opensslreq-newkeyrsa:2048-x509-days5480-nocrypt-out

4、為頂級CA的私鑰文件可以去除保衛(wèi)口令opensslrsa-outside-你out

5、為應用證書/一級證書生成私鑰文件opensslgenrsa-土爆2048

6、依據(jù)什么私鑰文件，為應用證書/初級證書生成csr文件（證書各位文件）opensslreq-fifth-key-太outapp.csr

7、不使用CA的公私鑰文件給csr文件簽名，生成應用證書，有效期5年opensslca-inapp.csr-你out-cert-keyfile-days1826-policypolicy_anything

8、建議使用CA的公私鑰文件給csr文件簽名，生成中級證書，有效期5年opensslca-extensionsv3_ca-inapp.csr-你out-cert-keyfile-days1826-policypolicy_anything

以上是生成氣體根證書與運用證書過程中要應用的所有命令，依據(jù)什么生成目標有所不同，可分三組。其中，前面兩組都主要用于化合自簽名的頂級CA（區(qū)別只只是相對而言密鑰長度差別），實際應用效果中只需根據(jù)需求中,選擇一組去掉。到最后一組主要是用于生成氣體非自簽名的證書，除了中級證書與應用證書。說白二級證書，是具有再頒發(fā)的證書各級證書權限的子CA，而本文中所說的應用證書，指代不能不能為了再繼續(xù)頒發(fā)各級證書，沒有辦法用處其他證明個體身份的證書。頂級CA在簽發(fā)時間二者的時候，只是幾一個-extensionsv3_ca選項的區(qū)別，這個選項賦予被申領的證書繼續(xù)批文最下級證書的權力。

https證書生成的步驟？

1、生成證書幫忙文件CSR

用戶并且https證書先申請的準備就是要生成沉淀CSR證書幫忙文件，系統(tǒng)會再產(chǎn)生2個密鑰，一個是公鑰那是這個CSR文件，同時一個是私鑰，貯放在服務器上。要生成氣體CSR文件，站長是可以可以參考WEBSERVER的文檔，好象APACHE等，不使用OPENSSL命令行來能生成KEY CSR2個文件，Tomcat，JBoss，Resin等在用KEYTOOL來化合JKS和CSR文件，IIS按照向導建立一個掛著的請求和一個CSR文件。

2、將CSR再提交給CA機構認證

CA機構一般有2種認證

(1)域名認證，像是實際對管理員郵箱認證的，這種認證速度快，但是申領的證書中沒有企業(yè)的名稱，只沒顯示網(wǎng)站域名，也就是我們你經(jīng)常說的域名型https證書。當前流行沃通付費https證書確實是一類域名型https證書。

(2)企業(yè)文檔認證，要需要提供企業(yè)的營業(yè)執(zhí)照。國外https證書申請CA認證好象要1-5個工作日，國內(nèi)例如沃通CA只必須一小時之內(nèi)，緊急時5分鐘，效率比國外https證書先申請高太多了。

同樣的認證以上2種的證書，叫EVhttps證書，EVhttps證書這個可以使瀏覽器地址欄變成紅色，因為認證也最嚴不。EVhttps證書多應用方法于金融、電商、證券等對信息安全保護要求較高的領域。

3、資源https證書并安裝好

在通知CA機構簽發(fā)時間的https證書后，將https證書部署到服務器上，一般APACHE文件就將KEYCER圖片文件夾到文件上，然后把可以修改文件TOMCAT等是需要將CA申領的證書CER文件再導入JKS文件后，不能復制到服務器，然后把修改SERVER.XMLIIS必須一次性處理堆起的請求，將CER文件導入到。