openssl命令生成CA证书

证书生成过程

生成证书的相关命令：

（1）创建私钥 ：

Openssl命令：openssl genrsa -out root-key.pem 1024

说明：root-key里应该是有一对密钥，即public-private密钥对。

（2）创建证书请求

Openssl命令：openssl req -new -out root-req.csr -key root-key.pem

说明：创建证书请求时，需要从root-key.pem里提取public key, 创建除证书之外的其他证书，要使用自己的key文件。

（3）自签署证书：

Openssl命令：openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 365

说明：用root-key.pem进行签署证书请求，有效期为365天，如果有CA，此步骤应该由CA来做。

（4）其它证书用CA来签署

Openssl命令：openssl x509 -req -in other-req.csr -out ohter-cert.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 365

说明：用CA来签发其它证书。

（5）将pem证书和private key合成p12格式 ：

Openssl命令：openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12

说明：将pem证书和private key合成p12格式，只有发送证书持有者才能用自己的密码来提取私钥。

按照如上的命令生成自签名的根证书和根证书rootCA.p12颁发发的发送方证书sender.p12、接收方证书recver.p12。

最后把生成的p12格式的证书导入IE里，直接双击p12格式的证书安装即可。再用IE导出DER格式的cer证书，打开IE浏览器“Internet选项”，选择“内容”，选择“证书”，接着选择所要导出的证书导出，注意导出证书的导出格式选择“DER编码的二进制X.509（.CER）”。