服务商
FreeSSL首页 - FreeSSL.org一个提供免费HTTPS证书申请的网站
https://freessl.org/
证书类型
- RSA,传统算法。优点,支持好,老的客户端也支持。缺点,2048以下的都不算安全。密钥比较大,加密计算慢点(对比ECC)。
- ECC,新算法,椭圆曲线。优点,密钥小,计算快。缺点,老客户端可能不支持。不过这年头,没什么老客户端了。
选择验证类型
- DNS,要把验证字符串,写入指定域名的TXT记录。
- 文件验证,把验证字符串,写入你的web服务器的,指定的路径的,文件中。
下载的文件格式说明
- .pem:证书文件。PEM文件的扩展名为CRT格式。
- .key:证书的密钥文件。申请证书时如果未选择自动创建CRS,则下载的证书文件压缩包中不会包含.key文件,需要您将自己手动创建的密钥文件拷贝到cert目录下。
openssl
Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions
http://slproweb.com/products/Win32OpenSSL.html
nginx证书生成_运维_安静的码农-CSDN博客
https://blog.csdn.net/pcjk8866/article/details/104759748/
使用openssl生成https证书
https://baijiahao.baidu.com/s?id=1649462735958571118&wfr=spider&for=pc
openssl实现自签名证书 - 苹果大大个 - 博客园
https://www.cnblogs.com/xiguadadage/p/10756424.html
使用openSSL制作SSL证书_网络_u013630932的专栏-CSDN博客
https://blog.csdn.net/u013630932/article/details/81486606
在Nginx/Tengine服务器上安装证书_下载证书并安装到Web服务器_SSL证书-阿里云
https://help.aliyun.com/document_detail/98728.html?spm=5176.2020520163.cas.19.36b556a79k8L5U
证书之间的转换(crt pem key)_运维_何惜戈-CSDN博客
https://blog.csdn.net/qq_37049781/article/details/84837342?depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1&utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromBaidu-1
用openssl为WEB服务器生成证书(自签名CA证书,服务器证书) - osnosn - 博客园
https://www.cnblogs.com/osnosn/p/10608455.html
operation record
使用openssl生成https证书
使用openssl生成https证书
https://baijiahao.baidu.com/s?id=1649462735958571118&wfr=spider&for=pc
使用openssl工具生成一个RSA私钥
\src\ssl-ca\ca-1
openssl genrsa -des3 -out server.key 2048
# 生成私钥,需要提供一个至少4位,最多1023位的密码
# Enter pass phrase for server.key
# 输入:123456
#Verifying - Enter pass phrase for server.key
# 输入:123456
# 生成 server.key文件
生成CSR(证书签名请求)
openssl req -new -key server.key -out server.csr
# Enter pass phrase for server.key
# 输入:123456
# 需要依次输入国家,地区,城市,组织,组织单位,Common Name和Email。其中Common Name,可以写【自己的名字】或者【域名】,如果要支持https,Common Name应该与【域名】保持一致,否则会引起浏览器警告
# 可以将证书发送给证书颁发机构(CA),CA验证过请求者的身份之后,会出具签名证书,需要花钱。另外,如果只是内部或者测试需求,也可以使用OpenSSL实现自签名
# Country Name (2 letter code) [AU]:CN
# State or Province Name (full name) [Some-State]:ChongQing
# Locality Name (eg, city) []:ChongQing
# Organization Name (eg, company) [Internet Widgits Pty Ltd]: IceDog Ltd
# Organizational Unit Name (eg, section) []:DP-1
# Common Name (e.g. server FQDN or YOUR name) []:www.icedog.me
#Email Address []:335121817@qq.com
# Please enter the following 'extra' attributes to be sent with your certificate request
# A challenge password []:123456
# An optional company name []:IceDog
删除密钥中的密码
openssl rsa -in server.key -out server.key
# 如果不删除密码,在应用加载的时候会出现输入密码进行验证的情况,不方便自动化部署
生成自签名证书
内部或者测试使用,只要忽略证书提醒就可以了
openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt
生成pem格式的公钥
有些服务,需要有pem格式的证书才能正常加载
openssl x509 -in server.crt -out server.pem -outform PEM
openssl实现自签名证书
\src\ssl-ca\ca-2
openssl实现自签名证书 - 苹果大大个 - 博客园
https://www.cnblogs.com/xiguadadage/p/10756424.html
生成ca证书的密钥key
openssl genrsa -des3 -out ca.key 2048
# password :123456
生成ca的自签名证书,是的,此处的ca证书也是一个自签名证书
openssl req -new -x509 -days 365 -key ca.key -out ca.crt
# 输入信息参考上面的
删除ca密钥中的密码
openssl rsa -in ca.key -out ca.key
# 如果不删除密码,在应用加载的时候会出现输入密码进行验证的情况,不方便自动化部署
生成自签名证书密钥
openssl genrsa -des3 -out server.key 1024
生成自签名证书请求文件
openssl req -new -key server.key -out server.csr
使用ca证书对自签名证书请求文件进行签名
openssl x509 -req -days 365 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt
服务端代码转换浏览器可以识别的PCS12格式,密码使用上面输入的密码
openssl pkcs12 -export -in server.crt -inkey server.key -out server.p12
cer to pem
openssl x509 -inform der -in server.cer -out server.pem
发表评论