openssl自签名证书与伪CA签发证书

自签名证书

1. 在桌面新建文件夹
   mkdir ssl
   cd ssl

2. 生成私钥
   sudo openssl genrsa -out server.key 2048

   
   
   

   WeChatba8d5f59ea48b74199d7bdd3b1a0b3ce.png

3. 生成自签名证书
   sudo openssl req -new -sha256 -x509 -days 365 -key server.key -out server.crt

   
   
   

   WeChat50f19978728184812a848fb2837c788c.png

配置Apache服务器

1. 证书放入服务器
   server.crt和server.key拷贝到/etc/apache2/目录
2. 修改配置文件

• 编辑/etc/apache2/httpd.conf文件
  LoadModule ssl_module libexec/apache2/mod_ssl.so
  Include /private/etc/apache2/extra/httpd-vhosts.conf
  Include /private/etc/apache2/extra/httpd-ssl.conf
  LoadModule socache_shmcb_module libexec/apache2/mod_socache_shmcb.so

• 编辑/etc/apache2/extra/httpd-ssl.conf
  去掉下面注释，并修改为上面证书放入的路径
  SSLCertificateFile "/private/etc/apache2/server.crt"
  SSLCertificateKeyFile "/private/etc/apache2/server.key"

-编辑/etc/apache2/extra/httpd-vhosts.conf
在 .....后面添加一段如下内容：

    SSLEngine on
    SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
    SSLCertificateFile /private/etc/apache2/server.crt
    SSLCertificateKeyFile /private/etc/apache2/server.key
    ServerName 192.168.1.6
    DocumentRoot "/Library/WebServer/Documents"

3. 重启服务器
   sudo apachectl restart

4. 访问服务器
   https://192.168.1.6
   会提示不安全，因为自己的证书没有加入浏览器的信任列表，继续访问就可以了
   4、apache2 网站跟目录
   /Library/WebServer/Documents （可以在此目录下面放置需要下载的文件）

   
   
   

   WeChat0ff050f28b32d1809350392c1e5e314a.png

作为CA签发证书

1、 生成CA根证书
openssl genrsa -des3 -out ca.key 4096
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
2、创建服务器私钥、生成证书请求文件CSR
openssl genrsa -out server.key 4096
openssl req -new -key server.key -out server.csr
3、自己作为CA签发证书
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -days 365

• 遇到问题

  
  
  

  WeChat502675d573633c6c2deff4875727b53f.png
  
  

  用/System/Library/OpenSSL/openssl.cnf替换目录中的/private/etc/ssl/openssl.cnf文件

mkdir -p ./demoCA/newcerts
touch demoCA/index.txt
touch demoCA/serial
echo 01 > demoCA/serial