准备工作:
0.安装完整版的openssl
安装到C:\OpenSSL32,也可以安装到其它盘,不要包含空格和中文
打开openssl.exe所在目录如:C:\OpenSSL32\bin,输入cmd.exe打开cmd控制台
1.创建ca文件夹 ,证书文件夹
mkdir ca
mkdir certs
2.创建私钥 (建议设置密码)
openssl genrsa -des3 -out ca/myCA.key 20483.生成CA证书,20 年有效期
注意common name不要随意输入,可以输入为 my root ca
openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt4.创建服务器私钥
openssl genrsa -out certs/server.key 20485.创建ssl证书CSR
openssl req -new -key certs/server.key -out certs/server.csr
6.创建域名附加配置文件certs/cert.txt
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = server
IP.2 = 127.0.0.1
DNS.3 = test.com
DNS.4 = *.test.com7.使用CA签署ssl证书
注意common name不要随意输入,可以输入为 my sercer ca
# ssl证书有效期10年
openssl x509 -req -in certs/server.csr -out certs/server.crt -days 3650 -CAcreateserial -CA ca/myCA.crt -CAkey ca/myCA.key -CAserial serial -extfile certs/cert.ext8.如果你使用IIS作为网页服务器,那么需要生成server.pfx文件
openssl pkcs12 -export -in certs/server.crt -inkey certs/server.key -out certs/server.pfx9.部署iis服务器
生成完成后使用server.pfx文件作为iis服务器证书即可
10.在手机或电脑端安装ca证书
所有需要访问的电脑需要将myCA.crt文件安装到-->受信任的根证书颁发机构,必须安装到此目录
11.在浏览器输入https://ip 即可正常访问,如图
11.验证证书是否ok
openssl verify -CAfile ca/myCA.crt certs/server.crt参考链接:
证书层次如下: