如何用openssl命令行生成证书

如何用openssl命令行生成证书

描述如何用openssl命令行工具生成自签名证书

证书介绍

开发https功能的web server必须用到签名证书，证书都是由证书签发机构签发，当然也可以自己给自己签发即自签名证书。

要签发证书，首先要有一个根证书，然后用根证书来签发用户证书。

用户进行证书申请

一般先生成一个私钥文件(Key)，然后用私钥生成证书签名请求(csr：certificate signing request)，再用证书服务器的根证书来签发证书,生成证书文件(crt: certificate)。

自签名证书

一般用于顶级证书、根证书，证书的名称和认证机构的名称相同.

根证书

根证书是CA认证中心给自己颁发的证书,是信任链的起始点。安装根证书意味着对这个CA认证中心的信任

生成证书步骤

Created with Raphaël 2.1.2CA机构CA机构用户机构用户机构对于自签名证书，CA机构和用户机构是同一家1.生成CA私钥2.生成CA证书请求3.自签名生成CA根证书4.生成用户私钥5.生成用户证书请求CSR申请证书[CSR]6.对申请证书签名得到用户证书将用户证书发给用户机构

自动生成证书的批处理脚本

接下来贴上生成证书的批处理代码，该脚本自动生成自签名证书，脚本需要在openssl二进制发布包的bin目录下执行。

@echo off
REM 将openssl的bin目录加入PATH环境变量
set PATH=%PATH%;%~dp0
CD /D %~dp0

REM 设置环境变量
set OPENSSL_CONF=%~dp0\..\ssl\openssl.cnf

::设置变量
set SSL_CONF=%~dp0\..\ssl
set CA_PWD=88888888
set SVR_PWD=123456
set CLNT_PWD=12345678
set SUBJ=/C=CN/ST=GuangDong/L=ShenZhen/O=isoft/OU=isoft-nest/CN=localhost/emailAddress=chen.kline@sohu.com

REM 建立工作主目录cert-work
mkdir cert-work
cd cert-work
REM 建立demoCA等文件夹及文件
mkdir demoCA
mkdir demoCA\certs
rem mkdir demoCA\crl
mkdir demoCA\newcerts
mkdir demoCA\private
echo 01 > demoCA\serial
fsutil file createnew demoCA\index.txt 0

echo 1. 生成CA的key文件和证书文件
openssl req -new -x509 -passout pass:%CA_PWD% -subj %SUBJ% -keyout demoCA\private\ca.key -out demoCA\ca.crt -days 3650 -config %SSL_CONF%\openssl.cnf

echo 设置在签名更新数据DB时允许common name不唯一
echo unique_subject = no > demoCA\index.txt.attr

echo 2. 生成服务器端的私钥(key文件):
openssl genrsa -des3 -passout pass:%SVR_PWD% -out server.key 1024
echo 2. 生成无口令的服务器端私钥文件:
openssl rsa -passin pass:%SVR_PWD% -in server.key -out server-nopwd.key

echo 3. 生成服务器端的csr文件
openssl req -new -passin pass:%SVR_PWD% -subj %SUBJ% -key server.key -out server.csr -config %SSL_CONF%\openssl.cnf

echo 4. 用生成的CA的证书为刚才生成的server.csr文件签名:
openssl ca -batch -passin pass:%CA_PWD% -in server.csr -out server.crt -cert demoCA\ca.crt -keyfile demoCA\private\ca.key -days 3650 -config %SSL_CONF%\openssl.cnf

echo 5. 生成客户端key文件:
openssl genrsa -des3 -passout pass:%CLNT_PWD% -out client.key 1024
echo 5. 生成无口令的客户端私钥文件:
openssl rsa -passin pass:%CLNT_PWD% -in client.key -out client-nopwd.key

echo 6. 生成客户端csr文件:
openssl req -new -passin pass:%CLNT_PWD% -subj %SUBJ% -key client.key -out client.csr -config %SSL_CONF%\openssl.cnf

echo 7. 用生成的CA的证书为刚才生成的client.csr文件签名:
openssl ca -batch -passin pass:%CA_PWD% -in client.csr -out client.crt -cert demoCA\ca.crt -keyfile demoCA\private\ca.key -days 3650 -config %SSL_CONF%\openssl.cnf
cd /d %~dp0

脚本解释

首先设置OPENSSL_CONF环境变量，否则运行会报错。

生成工作目录cert-work，作为生成证书的存放目录，也可以使用当前目录作为工作目录。

在工作目录下建立以下demoCA文件夹及文件：

.\demoCA

.\demoCA\newcerts

.\demoCA\private

.\demoCA\index.txt (空文件，生成证书时会将数据记录写入)

.\demoCA\serial (在serial文件中写入第一个序列号01，在生成证书时会以此递增)

接下来第一步生成CA秘钥及CA自签名证书文件，

第2-4步生成服务器端秘钥、用私钥生成证书签名请求，用CA根证书签名生成服务端证书

第5-7步类似2-4步，生成客户端用的秘钥，CSR和cert证书。