使用OpenSSL生成双向证书步骤

双向证书生成步骤：

管理员打开控制台

 

服务端:

1.跳转到OpenSSL的bin目录

cd  /d   D:\Program Files\GnuWin32\bin

 

2.生成RSA服务端私钥(使用aes256加密,2048位):

openssl  genrsa  -aes256  -passout  pass:123456 -out  server.key  2048

 

 

3.把 RSA服务端私钥(*.key) 转换成 PKCS8 服务端私钥(*.pem)

openssl  pkcs8  -topk8  -nocrypt  -in  server.key -out  server.pem

   (键入私钥密码)

 

 

4.PKCS8服务单私钥(*.pem) 生成 服务端可信证书文件(*.crt)

openssl  req  -new  -x509  -days 3650 -key  server.pem -out  server_trust_cert.crt

   (键入国家缩写)

   (键入州或省全称)

   (键入城市或地区全称)

   (键入组织名)

   (键入单位名)

   (键入个人名字)

   (键入邮件地址)

 

 

5.服务端可信证书文件(*.crt) 转换成 服务端端证书根\证书链文件(*.pem)

openssl  x509  -in  server_trust_cert.crt -out  server_key_cert_chain.pem -outform PEM

 

 

客户端:

6.服务端私钥生成对应客户端私钥，需要提供密码:

openssl  rsa  -in  server.key -passin pass:123456  -out  client.key

 

 

7.把RSA客户端私钥(*.key)转换成PKCS8客户端私钥(*.pem)

openssl  pkcs8  -topk8  -nocrypt  -in  client.key -out  client.pem

 

 

8.PKCS8客户端私钥(*.pem) 生成 客户端可信证书文件(*.crt)

openssl  req  -new  -x509  -days 3650 -key  client.pem -out  client_trust_cert.crt

   (键入国家缩写)

   (键入州或省全称)

   (键入城市或地区全称)

   (键入组织名)

   (键入单位名)

   (键入个人名字)

   (键入邮件地址)

 

 

9. 客户端可信证书文件(*.crt) 转换成 客户端证书根\证书链文件(*.pem)

openssl  x509  –in  client_trust_cert.crt -out  client_key_cert_chain.pem -outform PEM