openssl 生成自签名证书

風雲 (ID: 3)

头衔：论坛版主

等级：大天使

积分：1632
发帖：72 篇
来自：保密
注册：2022/3/30 15:28:53
造访：2024/12/21 22:25:57

[ 第 1 楼 ]

1：生成证书私钥：
openssl genrsa -des3 -out server.key 2048
然后两次输入4个字符作为密码，例如：1111

2：生成证书请求：
openssl req -new -key server.key -out server.csr
输入密码：1111，然后填写相关资料。注意，Common Name 那里填写需要签名的域名。

3：生成证书：
openssl x509 -req -days 36524 -in server.csr -signkey server.key -out server.crt
需要输入 server.key 的密码，即 1111

4：如果需要 pem 格式的证书，将 server.key 转 pem 即可：
openssl rsa -in server.key -out key.pem
需要输入 server.key 的密码，即 1111
server.crt 已经是 pem 格式，无需转换。

2022/5/3 9:25:32

IP：已设置保密

pojin (ID: 2)

等级：风云使者

积分：318
发帖：2 篇
来自：保密
注册：2022/3/30 11:42:27
造访：2024/12/21 22:23:34

[ 第 2 楼 ]

正好用上！

2022/5/3 19:55:42

IP：已设置保密

風雲 (ID: 3)

头衔：论坛版主

等级：大天使

积分：1632
发帖：72 篇
来自：保密
注册：2022/3/30 15:28:53
造访：2024/12/21 22:25:57

[ 第 3 楼 ]

转成 pfx 格式以便导入 IIS，其中会要求输入密码：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

不过，某些服务器可能不兼容此证书，提示网络密码校验失败。这时需要找一台能导入的电脑先导进去，再导出来就正常了。

2024/7/8 15:50:22

IP：已设置保密

風雲 (ID: 3)

头衔：论坛版主

等级：大天使

积分：1632
发帖：72 篇
来自：保密
注册：2022/3/30 15:28:53
造访：2024/12/21 22:25:57

[ 第 4 楼 ]

如果想在证书中显示中文信息，可以写一个配置文件 info.cfg：

[ req ]
utf8 = yes
prompt = no
string_mask = utf8only
distinguished_name = domain_info

[ domain_info ]
C = CN
ST = 某某省
L = 某某市
O = 单位名称科技有限公司
OU = 开发部
CN = fengyun.org
emailAddress = webmaster@fengyun.org

然后，在第二步操作时，使用：

openssl req -new -key server.key -out server.csr -config info.cfg

2024/12/13 14:18:59

IP：已设置保密