這篇文章主要介紹“如何使用openssl創(chuàng)建https證書”，在日常操作中，相信很多人在如何使用openssl創(chuàng)建https證書問題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”如何使用openssl創(chuàng)建https證書”的疑惑有所幫助！接下來，請(qǐng)跟著小編一起來學(xué)習(xí)吧！

米易網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)！從網(wǎng)頁設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項(xiàng)目制作，到程序開發(fā)，運(yùn)營(yíng)維護(hù)。創(chuàng)新互聯(lián)2013年開創(chuàng)至今到現(xiàn)在10年的時(shí)間，我們擁有了豐富的建站經(jīng)驗(yàn)和運(yùn)維經(jīng)驗(yàn)，來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)。

從今天開始筆者打算和大家聊一聊http2這個(gè)協(xié)議，想要說清楚http2協(xié)議就必須親手搭建一個(gè)http2的服務(wù)，并且對(duì)比http2和http1.1的特點(diǎn)，從而了解http2的一些新特性。

http2服務(wù)是建立在TSL/SSL基礎(chǔ)之上的，類似于https，所以咱們先要搞清楚如何搭建一個(gè)https服務(wù)器，搭建https服務(wù)器的話就需要https證書，證書從哪里來呢？可以去阿里云買個(gè)域名，獲得免費(fèi)贈(zèng)送的證書，也可以去https廠商那里申請(qǐng)收費(fèi)證書，也可以用openssl這個(gè)工具自己生成證書。

寫完上面這段感覺程序員好難，要搞懂一個(gè)東西通常要追根溯源，刨根問底，越刨坑越深，然后就掉坑里了，然后再自我救贖。

說了這么多，這里還有一個(gè)前置知識(shí)就是https的原理，如果你不是很清楚或者不明白，請(qǐng)查看這兩篇文章白話https原理和nginx如何配置https證書。

如果你已經(jīng)看了前面兩篇文章，或者大致了解https，那么我們正式開始今天的主題，如何用openssl這個(gè)玩意生成證書呢？

先上一張圖，這張圖就是用openssl生成證書的整個(gè)流程了，如何看這個(gè)圖呢？

這個(gè)圖有A、B、C三個(gè)部分，分別用三種顏色框選了一下（給小編加雞腿????），A部分是CA機(jī)構(gòu)根證書的生成過程，這個(gè)過程需要先生成CA機(jī)構(gòu)的私鑰，再由CA機(jī)構(gòu)的私鑰生成CA機(jī)構(gòu)證書申請(qǐng)文件，然后再由這兩個(gè)文件生成根證書。

B部分是生成服務(wù)器私鑰，然后由服務(wù)器私鑰生成服務(wù)器證書申請(qǐng)文件。

C部分是最后一部分，也就是生成服務(wù)器的公鑰證書，服務(wù)器的公鑰證書需要三部分一起來生成，A部分的CA機(jī)構(gòu)的私鑰，CA機(jī)構(gòu)的申請(qǐng)證書文件，B部分的服務(wù)器證書申請(qǐng)文件，這三部分一起來生成服務(wù)器的公鑰證書。

根據(jù)圖示，分為如下幾個(gè)步驟：

1、生成服務(wù)器私鑰。

openssl genrsa -out server.key 1024

2、根據(jù)服務(wù)器私鑰文件生成證書請(qǐng)求文件，這個(gè)文件中會(huì)包含申請(qǐng)人的一些信息，所以執(zhí)行下面這行命令過程中需要用戶在命令行輸入一些用戶信息，隨便填寫，一路回車即可。

openssl req -new -key server.key -out server.csr

3、生成CA機(jī)構(gòu)的私鑰，命令和生成服務(wù)器私鑰一樣，只不過這是CA的私鑰

openssl genrsa -out ca.key 1024

4、生成CA機(jī)構(gòu)自己的證書申請(qǐng)文件

openssl req -new -key ca.key -out ca.csr

5、生成自簽名證書，CA機(jī)構(gòu)用自己的私鑰和證書申請(qǐng)文件生成自己簽名的證書，俗稱自簽名證書，這里可以理解為根證書。

openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt

6、根據(jù)CA機(jī)構(gòu)的自簽名證書ca.crt或者叫根證書生、CA機(jī)構(gòu)的私鑰ca.key、服務(wù)器的證書申請(qǐng)文件server.csr生成服務(wù)端證書。

openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt

上面的過程其實(shí)是模擬了各大https證書廠商生成https證書的過程，其中涉及到了根證書等等一些概念，如果你不是太明白也沒有關(guān)系，我們還有B方案，我只想要證書，不想搞得太深，那么請(qǐng)使用如下方法，簡(jiǎn)便快捷。

只需要三步：

第一步，生成服務(wù)器私鑰：

openssl genrsa -out server.key 1024

第二步，根據(jù)私鑰和輸入的信息生成證書請(qǐng)求文件：

openssl req -new -key server.key -out server.csr

第三步：用第一步的私鑰和第二步的請(qǐng)求文件生成證書：

openssl x509 -req -in server.csr -out server.crt -signkey server.key -days 3650

這樣我們就拿到了私鑰server.key和證書server.crt。

為什么第二種方式比第一種簡(jiǎn)單并且步驟還少呢?這里簡(jiǎn)單介紹一下，第一種方式是模擬https廠商生成https證書的簡(jiǎn)易過程，https證書廠商一般都會(huì)有一個(gè)根證書，這里我們模擬生成了https廠商根證書，也就是第一種方法的3、4、5步驟。

在實(shí)際應(yīng)用中，這些步驟對(duì)用戶來說是不可見的，這里只是簡(jiǎn)單模擬，通常證書申請(qǐng)用戶只需要將服務(wù)器的公鑰(注意不是私鑰)和服務(wù)器證書申請(qǐng)文件交給https證書廠商即可，之后https廠商會(huì)通過郵件回復(fù)一個(gè)服務(wù)器公鑰證書，拿到這個(gè)證書和自己生成的服務(wù)器私鑰就可以搭建https應(yīng)用了。

第二種方法比較簡(jiǎn)單，是因?yàn)槲覀冏约荷勺C書在本地測(cè)試，我們既是https廠商的角色也是用戶角色，我們直接用自簽名證書當(dāng)做服務(wù)器證書就可以了，簡(jiǎn)單快捷，不過這里只適用于測(cè)試。

總結(jié)一下：

1、本篇文章簡(jiǎn)單將http2的知識(shí)路徑圖梳理一下，要了解http2，就要搭建http2服務(wù)，搭建http2服務(wù)，就要了解如何搭建https服務(wù)，要了解https服務(wù)如何搭建，就要了解https的原理和如何獲取證書，今天講的就是如何獲取證書。

2、今天的主要知識(shí)點(diǎn)是如何用openssl生成https證書的兩種方法，第一種方法是模擬https廠商的生成https證書的一個(gè)簡(jiǎn)單流程，第二種方法是簡(jiǎn)化版，適合做本地測(cè)試。

下期我們用這次生成的http送證書搭建一個(gè)https服務(wù)。

node.js express 啟用 https

https://www.cnblogs.com/whm-blog/p/9413958.html  

基于 OpenSSL 生成自簽名證書

https://qhh.me/2019/05/18/%E5%9F%BA%E4%BA%8E-OpenSSL-%E7%94%9F%E6%88%90%E8%87%AA%E7%AD%BE%E5%90%8D%E8%AF%81%E4%B9%A6/  

Openssl生成自簽名證書，簡(jiǎn)單步驟

https://ningyu1.github.io/site/post/51-ssl-cert/  

到此，關(guān)于“如何使用openssl創(chuàng)建https證書”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章！