pk12 证书生成 用于RSA非对称加密

证书生成 用于RSA非对称加密"/>

pk12 证书生成 用于RSA非对称加密

openssl下载地址：

一生成ca相关

双击运行openssl.exe

1.生成 ca.key和ca.crt:
openssl req -new -x509 -keyout ca.key -out ca.crt -config ./opensslf
输入ca私钥密码和机构信息
妥善保存ca私钥密码以及其他机构信息


二生成证书相关


1.生成密钥 Generate the private key(生成RSA密钥)
openssl genrsa -des3 -out zhengshu.key 1024
输入密钥密码


此命令将生成1024位的RSA密钥，密钥文件名为： zhengshu.key，会提示您设定密钥密码，请设置密码，并牢记。需要注意的是这个文件包含了公钥和私钥两部分
运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.


2.生成CSR文件 Generate the CSR(生成一个证书请求)
openssl req -new -key zhengshu.key -out zhengshu.csr -config ./opensslf
生成Certificate Signing Request（CSR）,生成的csr文件交给CA签名后形成服务端自己的证书.屏幕上将有提示,依照其指示一步一步输入要求的个人信息即可.


此命令将提示您输入X.509证书所要求的字段信息，包括国家(中国添CN)、省份、所在城市、单位名称、单位部门名称(可以不填直接回车)。请注意： 除国家缩写必须填CN外，其余都可以是英文或中文。
 
请输入您要申请SSL证书的域名，如果您需要为www.domain申请SSL证书就不能只输入domain。SSL证书是严格绑定域名的。
 
请不要输入Email、口令(challenge password)和可选的公司名称，直接打回车即可。 
 
您现在已经通过私钥成功生成了请求文件：zhengshu.csr 保存在您的服务器中。


3. 备份密钥文件 Backup your private key 
请备份您的密钥文件并记下私钥密码。最好是把密钥文件备份到软盘或光盘中。


4. 测试CSR
生成CSR后，建议您自己测试一下生成的CSR文件是否正确


5. 用户服务器crt生成(生成数字证书)
openssl ca -days 3650 -in zhengshu.csr -out zhengshu.crt -cert ca.crt -keyfile ca.key -config ./opensslf
输入ca.key的密码，确认两次生成


输入ca.key的密钥后，完成证书生成。-in选项指明用于被签名的csr证书，-cert选项指明用于被签名的ca证书，--keyfile选项指明用于被签名的ca密钥
最后生成了SSL证书zhengshu.crt以及对应的.pem文件（pem文件以序号命名，生成时间同zhengshu.crt）
（生成的crt和pem都是公钥，用来验签）


6. 生成pfx文件
将可能存放于newcerts中的（具体参考配置文件opensslf中的new_certs_dir）随crt生成的相应pem文件复制到zhengshu.key的同一目录下，并修改文件名为zhengshu.pem


openssl pkcs12 -export -in zhengshu.pem -inkey zhengshu.key -out zhengshu.pfx
输入zhengshu.key的私钥密码，然后重新指定zhengshu.pfx的使用密码


最后通过pem和key文件生成了pfx，请记录该使用密码，在使用pfx进行加密过程中需要键该密码。(该文件里面包含公钥和私钥，用来签名)


key和pem是同一个东西，只是后缀不同
crt和cer是同一个东西，只是后缀不同


用zhengshu.pfx来做签名(私钥)，zhengshu.crt做验签(公钥)



备注：
1.错误相关如果存在找不到openssl config文件的，可重新生成一份opensslf文件存放于openssl工具根目录下,执行命令时加上-config ./opensslf即可
2.如出现default is an unsupported message digest type之类的ca生成错误，修改opensslf文件的default_md = default修改为default_md = md5
3.其他文件夹错误请根据实际配置的opensslf补充serial文件/index.txt文件/index.txt.attr文件/newcerts文件夹 等
4.如果出现ca组织机构和签发csr的机构不匹配无法签发的情况，请根据opensslf的配置修改