openssl命令生成CA证书

环境： openssl-e.tar.gz + ActivePerl-5.8.8.820-MSWin32-x86-274739.msi

 

制作数字证书

本系统的开发涉及到的证书主要是X.509和PKCS#12两种格式的证书，其证书的结构如下：

 

证书生成过程 

生成证书的相关命令：

（1）创建私钥 ：

Openssl命令：openssl genrsa -out root-key.pem 1024 

说明： root-key里应该是有一对密钥，即public-private密钥对。

 

（2）创建证书请求 

Openssl命令：openssl req -new -out root-req.csr -key root-key.pem 

说明： 创建证书请求时，需要从root-key.pem里提取public key, 创建除证书之外的其他证书，要使用自己的key文件。

 

（3）自签署证书 ：

Openssl命令：openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 365

说明： 用root-key.pem进行签署证书请求，有效期为365天，如果有CA，此步骤应该由CA来做。

（4）其它证书用CA来签署

Openssl命令：openssl x509 -req -in other-req.csr -out ohter-cert.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 365

说明： 用CA来签发其它证书。

（5）将pem证书和private key合成p12格式 ：

Openssl命令：openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12 

说明： 将pem证书和private key合成p12格式，只有发送证书持有者才能用自己的密码来提取私钥。

 

      按照如上的命令生成自签名的根证书和根证书rootCA.p12颁发发的发送方证书sender.p12、接收方证书recver.p12。

      最后把生成的p12格式的证书导入IE里，直接双击p12格式的证书安装即可。再用IE导出DER格式的cer证书，打开IE浏览器“Internet选项”，选择“内容”，选择“证书”，接着选择所要导出的证书导出，注意导出证书的导出格式选择“DER编码的二进制X.509（.CER）”。

 

截图如下：