|
制作SSL证书
|
首先制作CSR文件
(注意:您必须同时保存.key和.csr文件)
|
|
如果有特殊的要求,譬如需要2048位长的密钥,或者需要支持中文,则可以使用Openssl命令行工具。
|
|
1、“OpenSSL”工具被用来生成CSR和密钥,它来自于OpenSSL包,一般被安装在/usr/local/ssl/bin目录下,如果您安装在其他目录下,请做相应调整,你也可以下载使用OpenSSL 0.9.8.a for win32,下载地址是:
http://www.easyssl.cn/download/OpenSSL_0.9.8.a_Win32.zip
|
|
2、请运行 cmd.exe 进入命令窗口,执行:
set OPENSSL_CONF=openssl.cnf
openssl req -new -nodes -keyout server.key -out server.csr
|
|
3、于是当前目录下将产生两个文件:server.key 和 server.csr。请妥善保存这两个文件,请不要泄露server.key私钥文件。
|
|
4、在这一命令执行的过程中,系统会要求您填写如下信息:
|
Country Name (2 letter code):使用国际标准组织(ISO)国码格式,填写2个字母的国家代号。中国请填写CN。
|
State or Province Name (full name) |
省份,比如填写Shanghai |
|
Locality Name (eg, city) |
城市,比如填写Shanghai |
|
Organization Name (eg, company) |
组织单位,比如填写公司名称的拼音 |
|
Organizational Unit Name (eg, section) |
比如填写IT Dept |
|
Common Name (eg, your websites domain name): |
行使 SSL 加密的网站地址。请注意这里并不是单指您的域名,而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是:
abc.com 是一个网站;
www.abc.com 是另外一个网站;
pay.abc.com 又是另外一个网站。
|
|
Email Address |
邮件地址,可以不填 |
|
A challenge password |
可以不填 |
|
An optional company name |
可以不填 |
|
|
以上所有字段必须用英文或拼音形式输入。
|
|
5. 用一个文本编辑器(Notepad或 VI),打开“server.csr”,把里面的内容全部复制到CSR信息栏 中:
|
|
6. 点击“继续”
|
做好CSR文件后,请将CSR提交给CA签名
获得CA签名后的证书文件后,就需要合并PFX文件
|
|
同样,合并PFX文件最简单的方式,就是采用PFX在线合成工具:
http://www.easyssl.cn/openssl/createpfx.aspx
|
如果无法使用在线工具(目前在线工具只支持Verisign公司签发的证书),则需要用Openssl命令,将私钥保存为ssl.key,将CA签好名的证书文件保存为ssl.cer,则合并命令为:
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key
|
|
如果CA签发的不是单根证书(GeoTrust都是单根证书,不需要考虑这种情况)还有一个中间证书chain.cer,则命令为:
|
|
Openssl pkcs12 -export -out ssl.pfx -in ssl.cer -inkey ssl.key -certfie chain.cer
|