如何生成服务器ca证书

⑴ CA 的SSL证书怎么获得

Gworg可以直接申请SSL证书，提交域名或者公网IP申请。

⑵ 如何生成CA证书

步骤1--进入创建数字证书软件界面

1
在桌面左下角按以下路径进入,鼠标点击开始->程序->Microsoft Office->Microsoft Office 工具->VBA 项目的数字证书
说明：不同的操作系统进入路径会稍有不同，但VBA 项目的数字证书是Microsoft Office的一个套件，只要正常安装了办公软件就可以找到它。

2
创建数字证书的软件界面

3
在您的证书名称(Y)框中输入您的证书名称,举例：输入hhch

4
点击确定之后，您就已经创建了一个名称叫hhch的证书了,并且 hhch证书在Microsoft Office系列软件中都可以使用。

5
如果需要多建几个证书，请重复第3步，第4步。证书名称可以重复使用，也就是可以有多个叫hhch的证书。
END
步骤2--查看证书

1
在 Word、Excel、PowerPoint、Access、Outlook、Publisher任一软件中，按组合键ALT+F11，就是ALT和F11同时按下，进入VBA界面
2
在VBA界面，鼠标点击菜单：工具(T)->数字签名(D)...->选择（C）->查看证书

END
步骤3--清除“信任所有安装的加载项和模板”复选框

1
在“工具”菜单上，单击“选项”，再单击“安全性”选项卡
2
在“宏安全性”下，单击“宏安全性”
3
单击“可靠发行商”选项卡。
4
清除“信任所有安装的加载项和模板”复选框

⑶ 怎么申请CA证书

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。

CA 也拥有一个证书（内含公钥和私钥）。网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。证书的内容包括：电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。

(3)如何生成服务器ca证书扩展阅读

证书原理：数字证书在用户公钥后附加了用户信息及CA的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。

为确保只有某个人才能阅读自己的信件，发送者要用收件人的公钥加密信件；收件人便可用自己的私钥解密信件。同样，为证实发件人的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

⑷ CA证书与DHCP服务

1、创建私有CA并进行证书申请。

1 ：创建 CA 私钥

$ openssl genrsa -des3 -out ca.key 4096

2 ：生成 CA 的自签名证书，其实 CA 证书就是一个自签名证书

$ openssl req -new -x509 -days 365 -key ca.key -outca.crt

3 ：生成需要颁发证书的私钥

$ openssl genrsa -des3 -out server.key 4096

4 ：生成要颁发证书的证书签名请求

Ps:证书签名请求当中的 Common Name 必须区别于 CA 的证书里面的 Common

Name

$ openssl req -new -key server.key -out server.csr

5 ：创建一个ext文件，内容如下

keyUsage = nonRepudiation, digitalSignature,keyEncipherment

extendedKeyUsage = serverAuth, clientAuth

subjectAltName=@SubjectAlternativeName

[ SubjectAlternativeName ]

DNS.1=abc.com

DNS.2=*.abc.com

6 ：用 2 创建的 CA 证书给 4 生成的 签名请求 进行签名

$ openssl x509 -req -days 365 -extfile http.ext -inserver.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

7 ：最终会得到一下几个文件

ca.crt: 这个是ca证书，客户端信任该证书意味着会信任该证书颁发出去的所有证书

ca.key: ca证书的密钥

server.key: 服务器密钥，需要配置的

server.csr: 证书签名请求,通常是交给CA机构，这里我们就自己解决了

server.crt: 服务器证书，需要配置的

2、总结ssh常用参数、用法

ssh命令是ssh客户端，允许实现对远程系统经验证地加密安全访问。ssh客户端配置文件是：/etc/ssh/ssh_config

ssh

命令配合的常见选项：

-p port

：远程服务器监听的端口

ssh 192.168.1.8 -p 2222

-b

指定连接的源IP

ssh 192.168.1.8 -p 2222 -b 192.168.1.88

-v

调试模式

ssh 192.168.1.8 -p 2222 -v

-C

压缩方式

-X

支持x11转发支持将远程linux主机上的图形工具在当前设备使用

-t

强制伪tty分配，如：ssh -t remoteserver1 ssh -t remoteserver2 ssh

remoteserver3

-o option

如：-oStrictHostKeyChecking=no

-i

指定私钥文件路径，实现基于key验证，默认使用文件：~/.ssh/id_dsa,

~/.ssh/id_ecdsa,/.ssh/id_ed25519

，/.ssh/id_rsa等

3、总结sshd服务常用参数。服务器端的配置文件: /etc/ssh/sshd_config

常用参数：

Port #

端口号

ListenAddress ipLoginGraceTime 2m #

宽限期

PermitRootLogin yes #

默认ubuntu不允许root远程ssh登录

StrictModes yes #

检查.ssh/文件的所有者，权限等

MaxAuthTries 6

MaxSessions 10 #

同一个连接最大会话

PubkeyAuthentication yes #

基于key验证

PermitEmptyPasswords no #

空密码连接

PasswordAuthentication yes #

基于用户名和密码连接

GatewayPorts no

ClientAliveInterval 10 #

单位:秒

ClientAliveCountMax 3 #

默认3

UseDNS yes #

提高速度可改为no

GSSAPIAuthentication yes #

提高速度可改为no

MaxStartups #

未认证连接最大值，默认值10

Banner /path/file

以下可以限制可登录用户的办法：

AllowUsers user1 user2 user3

DenyUsers

AllowGroups

ssh

服务的最佳实践建议使用非默认端口禁止使用protocol version 1

限制可登录用户设定空闲会话超时时长利用防火墙设置ssh访问策略仅监听特定的IP地址基于口令认证时，使用强密码策略，比如：tr -dc A-Za-z0-9_ < /dev/urandom| head -c 12|

xargs

使用基于密钥的认证禁止使用空密码禁止root用户直接登录限制ssh的访问频度和并发在线数经常分析日志

4、搭建dhcp服务，实现ip地址申请分发

一、配置DHCP服务器

1、安装DHCP服务器软件

[root@centos01 ~]# mount /dev/cdrom /mnt/<!--挂载操作系统光盘-->

mount: /dev/sr0 写保护，将以只读方式挂载

[root@centos01 ~]# rm -rf /etc/yum.repos.d/CentOS-*<!--删除系统自动yum源-->

[root@centos01 ~]# yum -y install dhcp<!--安装DHCP服务 -->

2、建立主配置文件dhcpd.conf

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--编辑主配置文件-->

:r /usr/share/doc/dhcp-4.2.5/dhcpd.conf.example<!--读取默认配置文件-->

ddns-update-style none;<!--禁用DNS动态更新-->

option domain-name "benet.com";<!--指定默认搜索域-->

option domain-name-servers 202.106.0.10, 202.106.0.20; 

<!--指定DNS服务器地址-->

default-lease-time 600;<!--默认租约时间-->

max-lease-time 7200;<!--最大租约时间-->

1）/etc/dhcp/dhcpd.conf文件的配置构成

在主配置文件dhcpd.conf中，可以使用声明、参数、选项这三种类型的配置，各自的作用和表现形式如下所述：

声明：用来描述dhcpd服务器中对网络布局的划分，是网络设置的逻辑范围。常见的声明是subnet、host，其中subnet声明用来约束一个网段。host声明用来约束一台特定主机。

参数：由配置关键字和对应的值组成，总是以“;”（分号）结束，一般位于指定的声明范围之内，用来设置所在范围的运行特性（如默认租约时间、最大租约时间等）。

选项：由“option”引导，后面跟具体的配置关键字和对应的值，也是以“;”结束，用于指定分配给客户机的各种地址参数（如默认网关地址、子网掩码、DNS服务器地址等）。

2）确定dhcpd服务的全局配置

为了使配置文件的结构更加清晰、全局配置通常会放在配置文件dhcod.conf的开头部分，可以是配置参数，也可以是配置选项。常用的全局配置参数和选项如下所述：

ddns-update-style：动态DNS更新模式。用来设置与DHCP服务相关联的DNS数据动态更新模式。在实际的DHCP应用中很少用到该参数。将值设为“none”即可。

default-lease-time：默认租约时间。单位为秒，表示客户端可以从DHCP服务器租用某个IP地址的默认时间。

max-lease-time：最大租约时间。单位为秒，表示允许DHCP客户端请求的最大租约时间，当客户端未请求明确的租约时间时，服务器将采用默认租约时间。

option domain-name：默认搜索区域。未客户机指定解析主机名时的默认搜索域，该配置选项将体现在客户机的/etc/resolv.conf配置文件中，如“search benet.com”。

option domain-name-servers：DNS服务器地址。为客户端指定解析域名时使用的DNS服务器地址，该配置选项同样将体现在客户机的/etc/resolv.conf配置文件中，如“nameserver 202.106.0.20”。需要设置多个DNS服务器地址时，以逗号进行分隔。

3）确定subnet网段声明

一台DHCP服务器可以为多个网段提供服务，因此subnet网段声明必须有而且可以有多个。例如，若要DHCP服务器为192.168.100.0/24网段提供服务，用于自动分配的IP地址范围为192.168.100。100~192.168.100.200，为客户机指定默认网关地址为192.168.100.254，则ke可以修改dhcpd.conf配置文件，参考以下内容调整subnet网段声明：

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf<!--编辑主配置文件-->

subnet 192.168.100.0 netmask 255.255.255.0 {<!--声明网段地址-->

range 192.168.100.100 192.168.100.200;<!--设置地址池，可以有多个-->

option routers 192.168.100.254;<!--指定默认网关地址-->

}

4）确定host主机声明

host声明用于设置单个主机的网络属性，通常用于为网络打印机或个别服务器分配固定的IP地址（保留地址），这些主机的共同特点是要求每次获取的IP地址相同，以确保服务的稳定性。

host声明通过host关键字指定需要使用保留地址的客户机名称，并使用“hardware ethernet”参数指定该主机的MAC地址，使用“fixed-address”参数指定保留给该主机的IP地址。例如，若要为打印机prtsvr（MAC地址为00:0C:29:0D:BA:6B）分配固定的IP地址192.168.100.101，可以修改dhcpd.conf配置文件，参考以下内容在网段声明内添加host主机声明。

C:\Users\Administrator>getmac

物理地址            传输名称

=================== =======================================================

00-0C-29-0D-BA-6B  \Device\Tcpip_{92E3F48B-40F0-4A0D-9604-6386AAAE3233}<!--客户端获取MAC地址-->

[root@centos01 ~]# vim /etc/dhcp/dhcpd.conf

host win7 {

hardware ethernet 00:0C:29:0D:BA:6B;<!--客户机的MAC地址-->

fixed-address 192.168.100.101;<!--分配给客户机的IP地址-->

}

3、启动dhcpd服务

在启动dhcpd服务之前，应确认提供DHCP服务器的网络接口具有静态指定的固定IP地址，并且至少有一个网络接口的IP地址与DHCP服务器中的一个subnet网段相对应，否则将无法正常启动dhcpd服务。例如，DHCP服务器的IP地址为192.168.100.10，用于为网段192。168.100.0/24内的其他客户机提供自动分配地址服务。

安装dhcp软件包以后，对应的系统服务脚本位于/usr/lib/systemd/system/dhcpd.service，可以使用systemd服务进行控制。例如，执行以下操作可以启动dhcpd服务，并检查UDP的67端口是否在监听，以确认DHCP服务器是否正常。

[root@centos01 ~]# systemctl start dhcpd<!--启动dhcp服务-->

[root@centos01 ~]# systemctl enable dhcpd<!--设置服务开机自动启动-->

[root@centos01 ~]# netstat -anptu | grep 67<!--监听DHCP服务端口号-->

udp        0      0 0.0.0.0:67              0.0.0.0:*                          2102/dhcpd         

udp        0      0 0.0.0.0:67              0.0.0.0:*                          1064/dnsmasq       

注意：需要关闭、重启dhcpd服务时，只要将上述操作命令中的“start”改为“stop”或“restart”即可。

二、使用DHCP客户端

1、windows客户端

ipconfig /renew<!--可以为主机重新获取新的IP地址-->

ipconfig /release<!--释放IP地址-->

tracert IP地址<!--可以测试从当前主机到目的主机经过的网络节点-->

route print<!--查看路由表-->

2、Linux客户端

在Linux客户机中可以设置使用DHCP的方式获取地址。只需要编辑对应网卡的配置文件，修改或添加“BOOTPROTO=dhcp”配置行，并重新加载配置文件或者重新启动network服务即可。例如，执行以下操作可修改网卡配置文件，并重新加载配置以通过DHCP方式自动获取地址：

[root@centos02 ~]# vim /etc/sysconfig/network-scripts/ifcfg-ens32

TYPE=Ethernet

PROXY_METHOD=none

BROWSER_ONLY=no

BOOTPROTO=dhcp

DEFROUTE=yes

NAME=ens32

DEVICE=ens32

ONBOOT=yes

[root@centos02 ~]# ifdown ens32 ; ifup ens32

[root@centos02 ~]# systemctl restart network

在Linux客户机中，还可以使用dhclient工具来测试DHCP服务器。若直接执行“dhclient”命令，则dhclient将尝试为除回环接口lo以外的所有网络接口通过DHCP方式申请新的地址，然后自动转入后台继续运行。当然，测试时可以指定一个具体的网络接口，并结合“-d”选项使其在前台运行，测试完毕后按Ctrl+C组合键终止。例如，执行“dhclient -d ens32”命令后，可以为网卡ens32自动获取新的IP地址，并显示获取过程。

[root@centos02 ~]# dhclient -d ens32

Internet Systems Consortium DHCP Client 4.2.5

Copyright 2004-2013 Internet Systems Consortium.

All rights reserved.

For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/ens32/00:0c:29:97:5c:9f

Sending on  LPF/ens32/00:0c:29:97:5c:9f

Sending on  Socket/fallback

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 4 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 6 (xid=0x5364e17f)

DHCPDISCOVER on ens32 to 255.255.255.255 port 67 interval 14 (xid=0x5364e17f)<!--DHCP发现-->

DHCPREQUEST on ens32 to 255.255.255.255 port 67 (xid=0x5364e17f)<!--DHCP请求-->

DHCPOFFER from 192.168.100.10<!--DHCP提供-->

DHCPACK from 192.168.100.10 (xid=0x5364e17f)<!--DHCP确认-->

bound to 192.168.100.102 -- renewal in 229 seconds.

............<!--按Ctrl+C组合键终止-->

客户端需要通过dhclient命令释放获取的IP租约时，可以结合“-r”选项。例如，执行以下的“dhclient -r ens32”将会释放之前为网卡ens32获取的IP租约。此时再通过执行“ifconfig ens32”命令就看不到分配的IP地址了。

[root@centos02 ~]# dhclient -r ens32

⑸ 如何生成CA证书

如何生成CA证书

一般情况下，如果能找到可用的证书，就可以直接使用，只不过会因证书的某些信息不正确或与部署证书的主机不匹配而导致浏览器提示证书无效，但这并不影响使用。

需要手工生成证书的情况有：

找不到可用的证书
需要配置双向SSL，但缺少客户端证书
需要对证书作特别的定制
首先，无论是在Linux下还是在Windows下的Cygwin中，进行下面的操作前都须确认已安装OpenSSL软件包。

1. 创建根证书密钥文件(自己做CA)root.key：

openssl genrsa -des3 -out root.key

输出内容为：

[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 输入一个新密码
Verifying – Enter pass phrase for root.key: ← 重新输入一遍密码

2. 创建根证书的申请文件root.csr：

openssl req -new -key root.key -out root.csr

输出内容为：

[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 输入前面创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家代号，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []: ← 此时不输入
Email Address []:[email protected] ← 电子邮箱，可随意填

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入

3. 创建一个自当前日期起为期十年的根证书root.crt：

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt

输出内容为：

[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 输入前面创建的密码

4. 创建服务器证书密钥server.key：

openssl genrsa –des3 -out server.key 2048

输出内容为：

[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)

运行时会提示输入密码,此密码用于加密key文件(参数des3便是指加密算法,当然也可以选用其他你认为安全的算法.),以后每当需读取此文件(通过openssl提供的命令或API)都需输入口令.如果觉得不方便,也可以去除这个口令,但一定要采取其他的保护措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

5.创建服务器证书的申请文件server.csr：

openssl req -new -key server.key -out server.csr

输出内容为：

[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不输入
Common Name (eg, YOUR name) []:www.mycompany.com ← 服务器主机名，若填写不正确，浏览器会报告证书无效，但并不影响使用
Email Address []:[email protected] ← 电子邮箱，可随便填

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不输入
An optional company name []: ← 可以不输入

6. 创建自当前日期起有效期为期两年的服务器证书server.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt

输出内容为：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入前面创建的密码

7. 创建客户端证书密钥文件client.key：

openssl genrsa -des3 -out client.key 2048

输出内容为：

[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 输入一个新密码
Verifying – Enter pass phrase for client.key: ← 重新输入一遍密码

8. 创建客户端证书的申请文件client.csr：

openssl req -new -key client.key -out client.csr

输出内容为：

[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 输入上一步中创建的密码
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 国家名称，中国输入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名称，拼音
Locality Name (eg, city) []:BeiJing ← 市名称，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以随便填
Email Address []:[email protected] ← 电子邮箱，可以随便填

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填

9. 创建一个自当前日期起有效期为两年的客户端证书client.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt

输出内容为：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 输入上面创建的密码

10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx：

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

输出内容为：

[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 输入上面创建的密码
Enter Export Password: ← 输入一个新的密码，用作客户端证书的保护密码，在客户端安装证书时需要输入此密码
Verifying – Enter Export Password: ← 确认密码

11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件

.crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）

参考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509证书一般会用到三类文，key，csr，crt。

Key是私用密钥openssl格，通常是rsa算法。

Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。

crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:

opensslrsa -in server.key -out server.key

server.key就是没有密码的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用来签署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

4.crt生成方法

CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

最后生成了私用密钥：server.key和自己认证的SSL证书：server.crt

证书合并：

catserver.key server.crt > server.pem

⑹ 如何生成CA证书

1. 创建根证书密钥文件(自己做CA)root.key：

2. 创建根证书的申请文件root.csr：

3. 创建一个自当前日期起为期十年的根证书root.crt：

4. 创建服务器证书密钥server.key：

5. 创建服务器证书的申请文件server.csr

6. 创建自当前日期起有效期为期两年的服务器证书server.crt

7. 创建客户端证书密钥文件client.key

8. 创建客户端证书的申请文件client.csr

9. 创建一个自当前日期起有效期为两年的客户端证书client.crt

10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx

11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件 .crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）

x509证书一般会用到三类文，key，csr，crt。

Key是私用密钥openssl格，通常是rsa算法。

Csr是证书请求文件，用于申请证书。在制作csr文件的时，必须使用自己的私钥来签署申，还可以设定一个密钥。

crt是CA认证后的证书文，（windows下面的，其实是crt），签署人用自己的key给你签署的凭证。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

这样是生成rsa私钥，des3算法，openssl格式，2048位强度。server.key是密钥文件名。为了生成这样的密钥，需要一个至少四位的密码。可以通过以下方法生成没有密码的key:

opensslrsa -in server.key -out server.key

server.key就是没有密码的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用来签署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次输入国家，地区，组织，email。最重要的是有一个common name，可以写你的名字或者域名。如果为了https申请，这个必须和域名吻合，否则会引发浏览器警报。生成的csr文件交给CA签名后形成服务端自己的证书。

4.crt生成方法

CSR文件必须有CA的签名才可形成证书，可将此文件发送到verisign等地方由它验证，要交一大笔钱，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

输入key的密钥后，完成证书生成。-CA选项指明用于被签名的csr证书，-CAkey选项指明用于签名的密钥，-CAserial指明序列号文件，而-CAcreateserial指明文件不存在时自动生成。

最后生成了私用密钥：server.key和自己认证的SSL证书：server.crt

证书合并：

catserver.key server.crt > server.pem

⑺ 怎么样用windows server r2自己生成ca

使用本主题中的过程从独立的 Windows Server 2008 R2 或提供 Active Directory 证书服务 (AD CS） 的 Windows 服务器 2008 R2 SP1–based 计算机获取证书。您可以使用 certreq 中的命令行实用程序来请求和接受证书，并使用 Web 界面来提交和检索您的证书。
它假定您有安装 AD CS、 正在使用 HTTPS 绑定，并且其相关联的证书已安装。主题中提供了有关创建 HTTPS 绑定的信息 如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定.

重要

本主题的内容根据默认设置的 Windows 服务器 2008 AD CS ； 例如，将密钥长度设置为 2048，CSP，作为选择 Microsoft 软件密钥存储提供程序，并使用安全哈希算法 1 (SHA1)。评估这些选项对您公司的安全策略的要求。

若要从独立证书颁发机构 (CA) 获取证书的高级过程如下所示：
1下载的受信任根 (CA) 证书.
2导入受信任的根 (CA) 证书

3创建一个安装程序信息文件若要使用 certreq 中的命令行实用程序。

4创建请求文件.

5将请求提交到 CA 使用请求文件.

6批准挂起的证书请求.

7从 CA 检索证书.

8将证书导入证书存储区.

9将证书导入使用 MOMCertImport 的运营经理.

下载的受信任根 (CA) 证书
若要下载的受信任根 (CA) 证书
1在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。
2启动 Internet Explorer，并连接到计算机承载证书服务 ； 示例： 例如，https://<服务器名称>/certsrv。
3在“欢迎”页上，单击“下载 CA 证书、证书链或 CRL”。
4在下载 CA 证书，证书链或 CRL 页上，单击编码方法，请单击 Base 64，然后单击 下载 CA 证书链。
5在文件下载 对话框中，单击 保存和保存证书 ； 例如， Trustedca.p7b。
6当下载完成后时，关闭 Internet Explorer。

导入受信任的根 (CA) 证书
若要导入受信任的根 (CA) 证书
1在 Windows 桌面上，单击“开始”，然后单击“运行”。
2在运行 对话框中，键入 mmc 中， ，然后单击确定。
3在“Console1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。
4在“添加/删除管理单元”对话框中，单击“添加”。
5在“添加独立管理单元”对话框中，单击“证书”，然后单击“添加”。
6在“证书管理单元”对话框中，选择“计算机帐户”，然后单击“下一步”。
7在“选择计算机”对话框中，确保选择“本地计算机：（运行此控制台的计算机）”选项，然后单8击“完成”。
8在“添加独立管理单元”对话框中，单击“关闭”。
9在“添加/删除管理单元”对话框中，单击“确定”。
10在控制台 1 窗口中，展开证书 （本地计算机），展开 受信任的根证书颁发机构，然后单击 证书。
11用鼠标右键单击证书，请选择 的所有任务，然后单击 导入。
12在证书导入向导中，单击下一。
13在导入的文件 页上，单击 浏览 和选择下载 CA 证书文件，例如，TrustedCA.p7b，选择该文件，该位置，然后单击 打开。
14在导入的文件 页上，选择 将所有证书都放入下列存储区 并确保 受信任的根证书颁发机构 出现在 的证书存储区 框中，然后再单击 下一。
15在完成证书导入向导 页上，单击 完成。

创建一个安装程序信息文件
若要创建安装信息 (.inf) 文件
1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在运行 对话框中，键入 记事本，然后单击 确定。
3创建包含以下内容的文本文件：
[] NewRequest
主题 ="CN =<的计算机创建证书，例如，网关服务器或管理服务器的 FQDN。>"
可导出 = TRUE
KeyLength = 2048年
KeySpec = 1
KeyUsage = 0xf0
MachineKeySet = TRUE
[] EnhancedKeyUsageExtension
OID=1.3.6.1.5.5.7.3.1
OID=1.3.6.1.5.5.7.3.2
4.Inf 文件扩展名，例如，RequestConfig.inf 与保存该文件。
5关闭记事本。

创建请求文件
若要创建使用独立的 CA 申请文件

1在承载您正在为其请求证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
2在“运行”对话框中，键入 cmd，然后单击“确定”。
3在命令窗口中，键入 certreq 中名-新建 – f RequestConfig.inf CertRequest.req，然后按 enter 键。
4用记事本打开生成的文件 （例如，CertRequest.req）。复制到剪贴板上此文件的内容。

将请求提交到 CA 使用请求文件
若要向独立 CA 提交一个请求

1承载您请求证书的操作管理器功能的计算机，启动 Internet Explorer，然后连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。

注释

如果没有证书服务 Web 站点上配置 HTTPS 绑定，则浏览器将无法连接。有关详情，请参阅如何为 Windows 服务器 2008 CA [om12] 配置 HTTPS 绑定。
2在 Microsoft 活动目录证书服务欢迎 屏幕中，单击 请求一个证书。

3在请求一个证书 页上，单击 高级的证书申请。
4在高级证书申请 页上，单击 提交证书申请使用 64 编码 CMC 或 PKCS #10 文件，或通过使用 64 编码的 PKCS #7 文件提交续订请求。
5在提交的证书申请或续订请求 页面，在 保存请求 文本框中，CertRequest.req 文件中复制的内容的步骤 4 中先前的操作过程，然后单击的粘贴 提交。
6关闭 Internet Explorer。

批准挂起的证书请求
批准挂起的证书申请
1登录到承载 Active Directory 证书服务的计算机证书颁发机构管理员。
2在 Windows 桌面上，请单击开始，指向 程序，指向 管理工具，然后单击 证书颁发机构。
3在“证书颁发机构”中，展开您的证书颁发机构名称的节点，然后单击“挂起的申请”。
4在结果窗格中，右键单击上述过程中挂起的申请，指向“所有任务”，然后单击“颁发”。
5单击“颁发的证书”，然后确认您刚颁发的证书已列出。
6关闭证书颁发机构。

从 CA 检索证书
检索证书
在登录到计算机所需安装证书 ； 例如，网关服务器和管理服务器。
启动 Internet Explorer，并连接到提供证书服务的计算机 （例如，https://<服务器名称>/certsrv)。
在 Microsoft 活动目录证书服务欢迎 页上，单击 查看挂起的证书申请的状态。
在“查看挂起的证书申请状态”页上，单击您申请的证书。
在证书颁发的 页上，选择 Base 64 编码，然后单击 下载证书。
在文件下载-安全警告 对话框中，单击 保存，并保存该证书 ； 例如，作为 NewCertificate.cer。
在“证书已安装”页面上，在您看到“您的新证书已经成功安装”消息之后，请关闭浏览器。
关闭 Internet Explorer。

将证书导入证书存储区
若要将证书导入证书存储区
在承载您配置证书的操作管理器功能的计算机，请单击开始，然后单击 运行。
在“运行”对话框中，键入 cmd，然后单击“确定”。
在命令窗口中，键入 certreq 中 –Accept NewCertifiate.cer，然后按 enter 键。

将证书导入使用 MOMCertImport 的运营经理
若要将证书导入使用 MOMCertImport 的运营经理
登录到管理员组的成员的帐户安装证书的计算机上。
在 Windows 桌面上，单击“开始”，然后单击“运行”。
在“运行”对话框中，键入 cmd，然后单击“确定”。
在命令提示符处，键入 <驱动器号>:(其中<驱动器盘符> 是驱动器其中 Operations Manager安装媒体的位置），然后按 enter 键。
类型 cd\SupportTools\i386，然后按 enter 键。

注释

在 64 位计算机上，键入 cd\SupportTools\amd64

键入下列命令：
MOMCertImport /SubjectName <证书使用者名称>
按 Enter。

1注释

机器翻译免责声明：本文由计算机系统在未经人为干预的情况下翻译。Microsoft 提供机器翻译来帮助非英语用户阅读有关 Microsoft 产品、服务和技术的内容。由于本文为机器翻译，因此可能包含词汇、句法或语法方面的错误。

⑻ WindowsServer 项目实操（4）CA证书

证书和CA的区别？

CA证书颁发机构：是Windows Server中自带的服务，安装CA服务器成为证书服务器，CA可以颁发证书。

证书：证书服务器生成的一个文件（工具），使用此文件（工具）可以实现加密等功能。

一般来说，推荐去供应商买证书，这样可以全网认，如果是自己颁发的证书，基本只能在DC中使用！

CA证书部署

———————————————————————————————————————

实战：使用CA证书加密网站

1.新建一个index.html网站

2.申请证书

把证书存储到桌面，方便等会申请

打开证书申请网站 http:\\localhost\certsrv

另存为到桌面上

——————————————————————————————————————————————————————————————————————————

3.完成或者导入证书

IIS上没有我刚刚新建的fly.com这张证书。感觉是这个系统有点问题，不知道咋回事。网上查了下好像是这个版本有问题。所以推荐另一种方法！！！（要是推进不下去就私聊我）

1.第一张是CA本身的认证证书，我们申请的第二张证书没有在IIS服务证书里面，所以我这边直接在mms里面导出。

2.运行-mms -添加证书组件

导入刚刚导出的证书

4.新建网址，通过CA证书进行加密！

参数如图