如何生成伺服器ca證書

⑴ CA 的SSL證書怎麼獲得

Gworg可以直接申請SSL證書，提交域名或者公網IP申請。

⑵ 如何生成CA證書

步驟1--進入創建數字證書軟體界面

1
在桌面左下角按以下路徑進入,滑鼠點擊開始->程序->Microsoft Office->Microsoft Office 工具->VBA 項目的數字證書
說明：不同的操作系統進入路徑會稍有不同，但VBA 項目的數字證書是Microsoft Office的一個套件，只要正常安裝了辦公軟體就可以找到它。

2
創建數字證書的軟體界面

3
在您的證書名稱(Y)框中輸入您的證書名稱,舉例：輸入hhch

4
點擊確定之後，您就已經創建了一個名稱叫hhch的證書了,並且 hhch證書在Microsoft Office系列軟體中都可以使用。

5
如果需要多建幾個證書，請重復第3步，第4步。證書名稱可以重復使用，也就是可以有多個叫hhch的證書。
END
步驟2--查看證書

1
在 Word、Excel、PowerPoint、Access、Outlook、Publisher任一軟體中，按組合鍵ALT+F11，就是ALT和F11同時按下，進入VBA界面
2
在VBA界面，滑鼠點擊菜單：工具(T)->數字簽名(D)...->選擇（C）->查看證書

END
步驟3--清除「信任所有安裝的載入項和模板」復選框

1
在「工具」菜單上，單擊「選項」，再單擊「安全性」選項卡
2
在「宏安全性」下，單擊「宏安全性」
3
單擊「可靠發行商」選項卡。
4
清除「信任所有安裝的載入項和模板」復選框

⑶ 怎麼申請CA證書

如果用戶想得到一份屬於自己的證書，他應先向 CA 提出申請。在 CA 判明申請者的身份後，便為他分配一個公鑰，並且 CA 將該公鑰與申請者的身份信息綁在一起，並為之簽字後，便形成證書發給申請者。

CA 也擁有一個證書（內含公鑰和私鑰）。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。證書的內容包括：電子簽證機關的信息、公鑰用戶信息、公鑰、權威機構的簽字和有效期等等。

(3)如何生成伺服器ca證書擴展閱讀

證書原理：數字證書在用戶公鑰後附加了用戶信息及CA的簽名。公鑰是密鑰對的一部分，另一部分是私鑰。公鑰公之於眾，誰都可以使用。私鑰只有自己知道。由公鑰加密的信息只能由與之相對應的私鑰解密。

為確保只有某個人才能閱讀自己的信件，發送者要用收件人的公鑰加密信件；收件人便可用自己的私鑰解密信件。同樣，為證實發件人的身份，發送者要用自己的私鑰對信件進行簽名；收件人可使用發送者的公鑰對簽名進行驗證，以確認發送者的身份。

⑷ CA證書與DHCP服務

1、創建私有CA並進行證書申請。

1 ：創建 CA 私鑰

$ openssl genrsa -des3 -out ca.key 4096

2 ：生成 CA 的自簽名證書，其實 CA 證書就是一個自簽名證書

$ openssl req -new -x509 -days 365 -key ca.key -outca.crt

3 ：生成需要頒發證書的私鑰

$ openssl genrsa -des3 -out server.key 4096

4 ：生成要頒發證書的證書簽名請求

Ps:證書簽名請求當中的 Common Name 必須區別於 CA 的證書裡面的 Common

Name

$ openssl req -new -key server.key -out server.csr

5 ：創建一個ext文件，內容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS.1=abc.com

DNS.2=*.abc.com

6 ：用 2 創建的 CA 證書給 4 生成的 簽名請求 進行簽名

$ openssl x509 -req -days 365 -extfile http.ext -inserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

7 ：最終會得到一下幾個文件

ca.crt: 這個是ca證書，客戶端信任該證書意味著會信任該證書頒發出去的所有證書

ca.key: ca證書的密鑰

server.key: 伺服器密鑰，需要配置的

server.csr: 證書簽名請求,通常是交給CA機構，這里我們就自己解決了

server.crt: 伺服器證書，需要配置的

2、總結ssh常用參數、用法

ssh命令是ssh客戶端，允許實現對遠程系統經驗證地加密安全訪問。ssh客戶端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常見選項：

-p port

：遠程伺服器監聽的埠

ssh 192.168.1.8 -p 2222

-b

指定連接的源IP

ssh 192.168.1.8 -p 2222 -b 192.168.1.88

-v

調試模式

ssh 192.168.1.8 -p 2222 -v

-C

壓縮方式

-X

支持x11轉發支持將遠程linux主機上的圖形工具在當前設備使用

-t

強制偽tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私鑰文件路徑，實現基於key驗證，默認使用文件：~/.ssh/id_dsa,

~/.ssh/id_ecdsa,/.ssh/id_ed25519

，/.ssh/id_rsa等

3、總結sshd服務常用參數。伺服器端的配置文件: /etc/ssh/sshd_config

常用參數：

Port #

埠號

ListenAddress ipLoginGraceTime 2m #

寬限期

PermitRootLogin yes #

默認ubuntu不允許root遠程ssh登錄

StrictModes yes #

檢查.ssh/文件的所有者，許可權等

MaxAuthTries 6

MaxSessions 10 #

同一個連接最大會話

PubkeyAuthentication yes #

基於key驗證

PermitEmptyPasswords no #

空密碼連接

PasswordAuthentication yes #

基於用戶名和密碼連接

GatewayPorts no

ClientAliveInterval 10 #

單位:秒

ClientAliveCountMax 3 #

默認3

UseDNS yes #

提高速度可改為no

GSSAPIAuthentication yes #

提高速度可改為no

MaxStartups #

未認證連接最大值，默認值10

Banner /path/file

以下可以限制可登錄用戶的辦法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服務的最佳實踐建議使用非默認埠禁止使用protocol version 1

限制可登錄用戶設定空閑會話超時時長利用防火牆設置ssh訪問策略僅監聽特定的IP地址基於口令認證時，使用強密碼策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基於密鑰的認證禁止使用空密碼禁止root用戶直接登錄限制ssh的訪問頻度和並發在線數經常分析日誌

4、搭建dhcp服務，實現ip地址申請分發

一、配置DHCP伺服器

1、安裝DHCP伺服器軟體

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--掛載操作系統光碟-->

mount: /dev/sr0 防寫，將以只讀方式掛載

[root@centos01 ~]# rm -rf /etc/yum.repos.d/CentOS-*<!--刪除系統自動yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安裝DHCP服務 -->

2、建立主配置文件dhcpd.conf

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--編輯主配置文件-->

:r /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example<!--讀取默認配置文件-->

ddns-update-style none;<!--禁用DNS動態更新-->

option domain-name "benet.com";<!--指定默認搜索域-->

option domain-name-servers 202.106.0.10, 202.106.0.20; 

<!--指定DNS伺服器地址-->

default-lease-time 600;<!--默認租約時間-->

max-lease-time 7200;<!--最大租約時間-->

1）/etc/dhcp/dhcpd.conf文件的配置構成

在主配置文件dhcpd.conf中，可以使用聲明、參數、選項這三種類型的配置，各自的作用和表現形式如下所述：

聲明：用來描述dhcpd伺服器中對網路布局的劃分，是網路設置的邏輯范圍。常見的聲明是subnet、host，其中subnet聲明用來約束一個網段。host聲明用來約束一台特定主機。

參數：由配置關鍵字和對應的值組成，總是以「;」（分號）結束，一般位於指定的聲明範圍之內，用來設置所在范圍的運行特性（如默認租約時間、最大租約時間等）。

選項：由「option」引導，後面跟具體的配置關鍵字和對應的值，也是以「;」結束，用於指定分配給客戶機的各種地址參數（如默認網關地址、子網掩碼、DNS伺服器地址等）。

2）確定dhcpd服務的全局配置

為了使配置文件的結構更加清晰、全局配置通常會放在配置文件dhcod.conf的開頭部分，可以是配置參數，也可以是配置選項。常用的全局配置參數和選項如下所述：

ddns-update-style：動態DNS更新模式。用來設置與DHCP服務相關聯的DNS數據動態更新模式。在實際的DHCP應用中很少用到該參數。將值設為「none」即可。

default-lease-time：默認租約時間。單位為秒，表示客戶端可以從DHCP伺服器租用某個IP地址的默認時間。

max-lease-time：最大租約時間。單位為秒，表示允許DHCP客戶端請求的最大租約時間，當客戶端未請求明確的租約時間時，伺服器將採用默認租約時間。

option domain-name：默認搜索區域。未客戶機指定解析主機名時的默認搜索域，該配置選項將體現在客戶機的/etc/resolv.conf配置文件中，如「search benet.com」。

option domain-name-servers：DNS伺服器地址。為客戶端指定解析域名時使用的DNS伺服器地址，該配置選項同樣將體現在客戶機的/etc/resolv.conf配置文件中，如「nameserver 202.106.0.20」。需要設置多個DNS伺服器地址時，以逗號進行分隔。

3）確定subnet網段聲明

一台DHCP伺服器可以為多個網段提供服務，因此subnet網段聲明必須有而且可以有多個。例如，若要DHCP伺服器為192.168.100.0/24網段提供服務，用於自動分配的IP地址范圍為192.168.100。100~192.168.100.200，為客戶機指定默認網關地址為192.168.100.254，則ke可以修改dhcpd.conf配置文件，參考以下內容調整subnet網段聲明：

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--編輯主配置文件-->

subnet 192.168.100.0 netmask 255.255.255.0 {<!--聲明網段地址-->

range 192.168.100.100 192.168.100.200;<!--設置地址池，可以有多個-->

option routers 192.168.100.254;<!--指定默認網關地址-->

}

4）確定host主機聲明

host聲明用於設置單個主機的網路屬性，通常用於為網路列印機或個別伺服器分配固定的IP地址（保留地址），這些主機的共同特點是要求每次獲取的IP地址相同，以確保服務的穩定性。

host聲明通過host關鍵字指定需要使用保留地址的客戶機名稱，並使用「hardware ethernet」參數指定該主機的MAC地址，使用「fixed-address」參數指定保留給該主機的IP地址。例如，若要為列印機prtsvr（MAC地址為00:0C:29:0D:BA:6B）分配固定的IP地址192.168.100.101，可以修改dhcpd.conf配置文件，參考以下內容在網段聲明內添加host主機聲明。

C:\Users\Administrator>getmac

物理地址            傳輸名稱

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客戶端獲取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客戶機的MAC地址-->

fixed-address 192.168.100.101;<!--分配給客戶機的IP地址-->

}

3、啟動dhcpd服務

在啟動dhcpd服務之前，應確認提供DHCP伺服器的網路介面具有靜態指定的固定IP地址，並且至少有一個網路介面的IP地址與DHCP伺服器中的一個subnet網段相對應，否則將無法正常啟動dhcpd服務。例如，DHCP伺服器的IP地址為192.168.100.10，用於為網段192。168.100.0/24內的其他客戶機提供自動分配地址服務。

安裝dhcp軟體包以後，對應的系統服務腳本位於/usr/lib/systemd/system/dhcpd.service，可以使用systemd服務進行控制。例如，執行以下操作可以啟動dhcpd服務，並檢查UDP的67埠是否在監聽，以確認DHCP伺服器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--啟動dhcp服務-->

[root@centos01 ~]# systemctl enable dhcpd<!--設置服務開機自動啟動-->

[root@centos01 ~]# netstat -anptu | grep 67<!--監聽DHCP服務埠號-->

udp        0      0 0.0.0.0:67              0.0.0.0:*                          2102/dhcpd         

udp        0      0 0.0.0.0:67              0.0.0.0:*                          1064/dnsmasq       

注意：需要關閉、重啟dhcpd服務時，只要將上述操作命令中的「start」改為「stop」或「restart」即可。

二、使用DHCP客戶端

1、windows客戶端

ipconfig /renew<!--可以為主機重新獲取新的IP地址-->

ipconfig /release<!--釋放IP地址-->

tracert IP地址<!--可以測試從當前主機到目的主機經過的網路節點-->

route print<!--查看路由表-->

2、Linux客戶端

在Linux客戶機中可以設置使用DHCP的方式獲取地址。只需要編輯對應網卡的配置文件，修改或添加「BOOTPROTO=dhcp」配置行，並重新載入配置文件或者重新啟動network服務即可。例如，執行以下操作可修改網卡配置文件，並重新載入配置以通過DHCP方式自動獲取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客戶機中，還可以使用dhclient工具來測試DHCP伺服器。若直接執行「dhclient」命令，則dhclient將嘗試為除回環介面lo以外的所有網路介面通過DHCP方式申請新的地址，然後自動轉入後台繼續運行。當然，測試時可以指定一個具體的網路介面，並結合「-d」選項使其在前台運行，測試完畢後按Ctrl+C組合鍵終止。例如，執行「dhclient -d ens32」命令後，可以為網卡ens32自動獲取新的IP地址，並顯示獲取過程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 4.2.5

Copyright 2004-2013 Internet Systems Consortium.

All rights reserved.

For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP發現-->

DHCPREQUEST on ens32 to 255.255.255.255 port 67 (xid=0x5364e17f)<!--DHCP請求-->

DHCPOFFER from 192.168.100.10<!--DHCP提供-->

DHCPACK from 192.168.100.10 (xid=0x5364e17f)<!--DHCP確認-->

bound to 192.168.100.102 -- renewal in 229 seconds.

............<!--按Ctrl+C組合鍵終止-->

客戶端需要通過dhclient命令釋放獲取的IP租約時，可以結合「-r」選項。例如，執行以下的「dhclient -r ens32」將會釋放之前為網卡ens32獲取的IP租約。此時再通過執行「ifconfig ens32」命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

⑸ 如何生成CA證書

如何生成CA證書

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。

需要手工生成證書的情況有：

找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。

1. 創建根證書密鑰文件(自己做CA)root.key：

openssl genrsa -des3 -out root.key

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼

2. 創建根證書的申請文件root.csr：

openssl req -new -key root.key -out root.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

3. 創建一個自當前日期起為期十年的根證書root.crt：

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

4. 創建伺服器證書密鑰server.key：

openssl genrsa –des3 -out server.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)

運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

5.創建伺服器證書的申請文件server.csr：

openssl req -new -key server.key -out server.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []:www.mycompany.com ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

7. 創建客戶端證書密鑰文件client.key：

openssl genrsa -des3 -out client.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼

8. 創建客戶端證書的申請文件client.csr：

openssl req -new -key client.key -out client.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

輸出內容為：

[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件

.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

參考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509證書一般會用到三類文，key，csr，crt。

Key是私用密鑰openssl格，通常是rsa演算法。

Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。

crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:

opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法

CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。

最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt

證書合並：

catserver.key server.crt > server.pem

⑹ 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

x509證書一般會用到三類文，key，csr，crt。

Key是私用密鑰openssl格，通常是rsa演算法。

Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。

crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:

opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法

CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。

最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt

證書合並：

catserver.key server.crt > server.pem

⑺ 怎麼樣用windows server r2自己生成ca

使用本主題中的過程從獨立的 Windows Server 2008 R2 或提供 Active Directory 證書服務 (AD CS） 的 Windows 伺服器 2008 R2 SP1–based 計算機獲取證書。您可以使用 certreq 中的命令行實用程序來請求和接受證書，並使用 Web 界面來提交和檢索您的證書。
它假定您有安裝 AD CS、 正在使用 HTTPS 綁定，並且其相關聯的證書已安裝。主題中提供了有關創建 HTTPS 綁定的信息 如何為 Windows 伺服器 2008 CA [om12] 配置 HTTPS 綁定.

重要

本主題的內容根據默認設置的 Windows 伺服器 2008 AD CS ； 例如，將密鑰長度設置為 2048，CSP，作為選擇 Microsoft 軟體密鑰存儲提供程序，並使用安全哈希演算法 1 (SHA1)。評估這些選項對您公司的安全策略的要求。

若要從獨立證書頒發機構 (CA) 獲取證書的高級過程如下所示：
1下載的受信任根 (CA) 證書.
2導入受信任的根 (CA) 證書

3創建一個安裝程序信息文件若要使用 certreq 中的命令行實用程序。

4創建請求文件.

5將請求提交到 CA 使用請求文件.

6批准掛起的證書請求.

7從 CA 檢索證書.

8將證書導入證書存儲區.

9將證書導入使用 MOMCertImport 的運營經理.

下載的受信任根 (CA) 證書
若要下載的受信任根 (CA) 證書
1在登錄到計算機所需安裝證書 ； 例如，網關伺服器和管理伺服器。
2啟動 Internet Explorer，並連接到計算機承載證書服務 ； 示例： 例如，https://<伺服器名稱>/certsrv。
3在「歡迎」頁上，單擊「下載 CA 證書、證書鏈或 CRL」。
4在下載 CA 證書，證書鏈或 CRL 頁上，單擊編碼方法，請單擊 Base 64，然後單擊 下載 CA 證書鏈。
5在文件下載 對話框中，單擊 保存和保存證書 ； 例如， Trustedca.p7b。
6當下載完成後時，關閉 Internet Explorer。

導入受信任的根 (CA) 證書
若要導入受信任的根 (CA) 證書
1在 Windows 桌面上，單擊「開始」，然後單擊「運行」。
2在運行 對話框中，鍵入 mmc 中， ，然後單擊確定。
3在「Console1」窗口中，單擊「文件」，然後單擊「添加/刪除管理單元」。
4在「添加/刪除管理單元」對話框中，單擊「添加」。
5在「添加獨立管理單元」對話框中，單擊「證書」，然後單擊「添加」。
6在「證書管理單元」對話框中，選擇「計算機帳戶」，然後單擊「下一步」。
7在「選擇計算機」對話框中，確保選擇「本地計算機：（運行此控制台的計算機）」選項，然後單8擊「完成」。
8在「添加獨立管理單元」對話框中，單擊「關閉」。
9在「添加/刪除管理單元」對話框中，單擊「確定」。
10在控制台 1 窗口中，展開證書 （本地計算機），展開 受信任的根證書頒發機構，然後單擊 證書。
11用滑鼠右鍵單擊證書，請選擇 的所有任務，然後單擊 導入。
12在證書導入向導中，單擊下一。
13在導入的文件 頁上，單擊 瀏覽 和選擇下載 CA 證書文件，例如，TrustedCA.p7b，選擇該文件，該位置，然後單擊 打開。
14在導入的文件 頁上，選擇 將所有證書都放入下列存儲區 並確保 受信任的根證書頒發機構 出現在 的證書存儲區 框中，然後再單擊 下一。
15在完成證書導入向導 頁上，單擊 完成。

創建一個安裝程序信息文件
若要創建安裝信息 (.inf) 文件
1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在運行 對話框中，鍵入 記事本，然後單擊 確定。
3創建包含以下內容的文本文件：
[] NewRequest
主題 ="CN =<的計算機創建證書，例如，網關伺服器或管理伺服器的 FQDN。>"
可導出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件擴展名，例如，RequestConfig.inf 與保存該文件。
5關閉記事本。

創建請求文件
若要創建使用獨立的 CA 申請文件

1在承載您正在為其請求證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
2在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
3在命令窗口中，鍵入 certreq 中名-新建 – f RequestConfig.inf CertRequest.req，然後按 enter 鍵。
4用記事本打開生成的文件 （例如，CertRequest.req）。復制到剪貼板上此文件的內容。

將請求提交到 CA 使用請求文件
若要向獨立 CA 提交一個請求

1承載您請求證書的操作管理器功能的計算機，啟動 Internet Explorer，然後連接到提供證書服務的計算機 （例如，https://<伺服器名稱>/certsrv)。

注釋

如果沒有證書服務 Web 站點上配置 HTTPS 綁定，則瀏覽器將無法連接。有關詳情，請參閱如何為 Windows 伺服器 2008 CA [om12] 配置 HTTPS 綁定。
2在 Microsoft 活動目錄證書服務歡迎 屏幕中，單擊 請求一個證書。

3在請求一個證書 頁上，單擊 高級的證書申請。
4在高級證書申請 頁上，單擊 提交證書申請使用 64 編碼 CMC 或 PKCS #10 文件，或通過使用 64 編碼的 PKCS #7 文件提交續訂請求。
5在提交的證書申請或續訂請求 頁面，在 保存請求 文本框中，CertRequest.req 文件中復制的內容的步驟 4 中先前的操作過程，然後單擊的粘貼 提交。
6關閉 Internet Explorer。

批准掛起的證書請求
批准掛起的證書申請
1登錄到承載 Active Directory 證書服務的計算機證書頒發機構管理員。
2在 Windows 桌面上，請單擊開始，指向 程序，指向 管理工具，然後單擊 證書頒發機構。
3在「證書頒發機構」中，展開您的證書頒發機構名稱的節點，然後單擊「掛起的申請」。
4在結果窗格中，右鍵單擊上述過程中掛起的申請，指向「所有任務」，然後單擊「頒發」。
5單擊「頒發的證書」，然後確認您剛頒發的證書已列出。
6關閉證書頒發機構。

從 CA 檢索證書
檢索證書
在登錄到計算機所需安裝證書 ； 例如，網關伺服器和管理伺服器。
啟動 Internet Explorer，並連接到提供證書服務的計算機 （例如，https://<伺服器名稱>/certsrv)。
在 Microsoft 活動目錄證書服務歡迎 頁上，單擊 查看掛起的證書申請的狀態。
在「查看掛起的證書申請狀態」頁上，單擊您申請的證書。
在證書頒發的 頁上，選擇 Base 64 編碼，然後單擊 下載證書。
在文件下載-安全警告 對話框中，單擊 保存，並保存該證書 ； 例如，作為 NewCertificate.cer。
在「證書已安裝」頁面上，在您看到「您的新證書已經成功安裝」消息之後，請關閉瀏覽器。
關閉 Internet Explorer。

將證書導入證書存儲區
若要將證書導入證書存儲區
在承載您配置證書的操作管理器功能的計算機，請單擊開始，然後單擊 運行。
在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
在命令窗口中，鍵入 certreq 中 –Accept NewCertifiate.cer，然後按 enter 鍵。

將證書導入使用 MOMCertImport 的運營經理
若要將證書導入使用 MOMCertImport 的運營經理
登錄到管理員組的成員的帳戶安裝證書的計算機上。
在 Windows 桌面上，單擊「開始」，然後單擊「運行」。
在「運行」對話框中，鍵入 cmd，然後單擊「確定」。
在命令提示符處，鍵入 <驅動器號>:(其中<驅動器盤符> 是驅動器其中 Operations Manager安裝媒體的位置），然後按 enter 鍵。
類型 cd\SupportTools\i386，然後按 enter 鍵。

注釋

在 64 位計算機上，鍵入 cd\SupportTools\amd64

鍵入下列命令：
MOMCertImport /SubjectName <證書使用者名稱>
按 Enter。

1注釋

機器翻譯免責聲明：本文由計算機系統在未經人為干預的情況下翻譯。Microsoft 提供機器翻譯來幫助非英語用戶閱讀有關 Microsoft 產品、服務和技術的內容。由於本文為機器翻譯，因此可能包含詞彙、句法或語法方面的錯誤。

⑻ WindowsServer 項目實操（4）CA證書

證書和CA的區別？

CA證書頒發機構：是Windows Server中自帶的服務，安裝CA伺服器成為證書伺服器，CA可以頒發證書。

證書：證書伺服器生成的一個文件（工具），使用此文件（工具）可以實現加密等功能。

一般來說，推薦去供應商買證書，這樣可以全網認，如果是自己頒發的證書，基本只能在DC中使用！

CA證書部署

———————————————————————————————————————

實戰：使用CA證書加密網站

1.新建一個index.html網站

2.申請證書

把證書存儲到桌面，方便等會申請

打開證書申請網站 http:\\localhost\certsrv

另存為到桌面上

——————————————————————————————————————————————————————————————————————————

3.完成或者導入證書

IIS上沒有我剛剛新建的fly.com這張證書。感覺是這個系統有點問題，不知道咋回事。網上查了下好像是這個版本有問題。所以推薦另一種方法！！！（要是推進不下去就私聊我）

1.第一張是CA本身的認證證書，我們申請的第二張證書沒有在IIS服務證書裡面，所以我這邊直接在mms裡面導出。

2.運行-mms -添加證書組件

導入剛剛導出的證書

4.新建網址，通過CA證書進行加密！

參數如圖