linux下运用Openssl签发证书详解

首先需要安装openssl。

openssl的配置文件是openssl.cnf，我们一般就是用默认配置就可以。如果证书有特殊要求的话，可以修改配置适应需求。这样必须把相关的文件放到配置文件指定的目录下面。

首先需要利用openssl生成根证书，以后的服务器端证书或者客户端证书都用他来签发，可以建立多个根证书。

第一步

1，生成根证书的私钥
$ openssl genrsa -out /home/yangxueliang/ca.key

2 利用私钥生成一个根证书的申请，一般证书的申请格式都是csr。所以私钥和csr一般需要保存好

$ openssl req -new -key /home/lengshan/ca.key -out /home/lengshan/ca.csr

3 自签名的方式签发我们之前的申请的证书，生成的证书为ca.crt。

openssl x509 -req -days 3650 -in /home/lengshan/ca.csr -signkey /home/lengshan/ca.key -out /home/lengshan/ca.crt

4 为我们的证书建立第一个序列号，一般都是用4个字符，这个不影响之后的证书颁发等操作

echo FACE（01） > /home/yangxueliang/serial。

5 建立ca的证书库，不影响后面的操作，默认配置文件里也有存储的地方。

touch /home/yangxueliang/index.txt

6 建立证书回收列表保存失效的证书

openssl ca -gencrl -out /home/lengshan/ca.crl -crldays 7

---已上就完成了根证书的相关操作，下一步可以颁发证书了。

---生成和签发服务器身份验证证书，注意证书是自签名的，浏览器会提示不受信任

第二步

1，建立服务器验证证书的私钥

openssl genrsa -out /home/lengshan/server.key

2，生成证书申请文件

openssl req -new -key /home/lengshan/server.key -out /home/lengshan/server.csr

3， 利用根证书签发服务器身份验证证书

openssl ca -in /home/lengshan/server.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/ca.key -out /home/lengshan/server.crt

4， 至此，服务器端身份认证证书已经完成，可以利用证书和私钥生成pfx格式的证书给微软使用，命令如下：

openssl pkcs12 -export -clcerts -in /home/lengshan/server.crt -inkey /home/lengshan/server.key -out 

第三步  签发客户端身份认证证书

1，生成私钥

openssl genrsa -des3 -out /home/lengshan/users/1/1.key 1024

2，生成证书请求文件

openssl req -new -key /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.csr

3，签发证书

openssl ca -in /home/lengshan/users/1/1.csr -cert /home/lengshan/ca.crt -keyfile /home/lengshan/users/1/1.crt

4，生成pfx格式

openssl pkcs12 -export -clcerts -in /home/lengshan/users/1/1.crt -inkey /home/lengshan/users/1/1.key -out /home/lengshan/users/1/1.p12

客户端证书完成，注意如果在web服务器上使用客户端证书，需要在web服务器上使用根证书对客户端进行验证，切记！