使用VS编译好的Openssl库生成数字证书

1 准备

使用《VS2015编译Openssl-1.1.0f》介绍的方法生成Openssl库，如图：



也可以在此址下载：http://download.csdn.net/detail/ljttianqin/9867280。解压到指定目录，如C:\openssl-1.1.0f\win32-release。

在此目录下(C:\openssl-1.1.0f\win32-release)下，新建子目录demoCA\newcerts，然后在\demoCA目录中新建一空文件index.txt，index.txt.attr以及serial文件(没有后缀)，以及记事本方式打开serial文件，填入01这两个数保存即可。

2 生成证书

打开CMD命令窗口，进入库目录：

cd /d C:\openssl-1.1.0f\win32-release\bin

1、服务器端
1）创建私钥（密码可自定，这里设为：123456）：

openssl genrsa -des3 -out server.key 1024

2）创建证书签名请求

openssl req -new -key server.key -out server.csr -config ../ssl/openssl.cnf

2、客户端
1）创建私钥（密码可自定，这里设为：123456）：

openssl genrsa -des3 -out client.key 1024

2）创建证书签名请求

openssl req -new -key client.key -out client.csr -config ../ssl/openssl.cnf

3、证书签名请求CSR文件必须有CA的签名才可形成证书。可将此文件发送到verisign等地方由它验证，但要交一大笔钱。So,自个儿做CA吧。

1）创建CA的ca.key和ca.cet（密码可自定，这里设为：123456）：

openssl req -new -x509 -keyout ca.key -out ca.crt -config ../ssl/openssl.cnf

2）用生成的CA的证书为服务器端server.csr和客户端client.csr文件签名

openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config ../ssl/openssl.cnf

openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key -config ../ssl/openssl.cnf

至此，便生成了服务器端和客户端证书。



4、查看证书信息

openssl x509 -noout -text -in server.crt

5、验证证书

openssl verify -CAfile ca.crt server.crt
openssl verify -CAfile ca.crt client.crt