准备工作:

0.安装完整版的openssl

openssl下载官网

安装到C:\OpenSSL32,也可以安装到其它盘,不要包含空格和中文

打开openssl.exe所在目录如:C:\OpenSSL32\bin,输入cmd.exe打开cmd控制台
1.创建ca文件夹 ,证书文件夹
 
mkdir ca
mkdir certs

2.创建私钥 (建议设置密码)
openssl genrsa -des3 -out ca/myCA.key 2048
3.生成CA证书,20 年有效期

注意common name不要随意输入,可以输入为 my root ca

openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt
4.创建服务器私钥
openssl genrsa -out certs/server.key 2048
5.创建ssl证书CSR
openssl req -new -key certs/server.key -out certs/server.csr

6.创建域名附加配置文件certs/cert.txt
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]
DNS.1 = server
IP.2 = 127.0.0.1
DNS.3 = test.com
DNS.4 = *.test.com
7.使用CA签署ssl证书

注意common name不要随意输入,可以输入为 my sercer ca

# ssl证书有效期10年
openssl x509 -req -in certs/server.csr -out certs/server.crt -days 3650  -CAcreateserial -CA ca/myCA.crt -CAkey ca/myCA.key -CAserial serial -extfile certs/cert.ext
8.如果你使用IIS作为网页服务器,那么需要生成server.pfx文件
openssl pkcs12 -export -in certs/server.crt -inkey certs/server.key -out certs/server.pfx
9.部署iis服务器

生成完成后使用server.pfx文件作为iis服务器证书即可

10.在手机或电脑端安装ca证书

所有需要访问的电脑需要将myCA.crt文件安装到-->受信任的根证书颁发机构必须安装到此目录

11.在浏览器输入https://ip   即可正常访问,如图

https自签名ssl证书生成流程-LMLPHP

11.验证证书是否ok
openssl verify -CAfile ca/myCA.crt certs/server.crt

参考链接:

file-make_cert.md

openssl自签一个给网站用的证书

https自签名ssl证书生成流程-LMLPHP

https自签名ssl证书生成流程-LMLPHP

https自签名ssl证书生成流程-LMLPHP

https自签名ssl证书生成流程-LMLPHP

证书层次如下:

https自签名ssl证书生成流程-LMLPHP

05-05 17:39