生成key即“私钥”,2048为加密字符长度,会让我们输入密码,不能太短,否者不成功。 openssl genrsa -des3 -out tmp.key 2048 把tmp.key转化成zlinux.key,目的是删除刚才设置的密码,如果不清除密码,后面很不方便 openssl rsa -in tmp.key -out zlinux.key openssl req -new -key zlinux.key -out zlinux.csr 生成证书请求文件,key文件和csr文件生成最终的公钥文件 openssl x509 -req -days 365 -in zlinux.csr -signkey zlinux.key -out zlinux.crt 生成的csr文件必须要经过CA签名才能形成自己的证书,我们可以通过第三方权威认证机构进行签名,但是这个需要收费,我们制作自签名根证书 1、制作ca key文件和ca根证书 openssl req -new -x509 -keyout ca.key -out ca.crt 2、签署证书配置文件 查看/etc/pki/tls/openssl.cnf文件 ,查看dir是不是指向dir= /etc/pki/CA 如果不是,请修改 touch /etc/pki/CA/{index.txt,serial} echo 01 > /etc/pki/CA/serial 对服务器证书和客户端证书进行签名 openssl ca -days 365 -in server.csr -out server.crt -cert ca.crt -keyfile ca.key 导出浏览器可以安装的证书 openssl pkcs12 -export -clcerts -in client.crt -inkey client.key -out client.p12 生成cer证书 openssl x509 -days 365 -in access.crt -out access.cer openssl genrsa -des3 -out spidermiddleware.com.key 2048 openssl rsa -in spidermiddleware.com.key -out spidermiddleware.com.key openssl req -days 3650 -new -key spidermiddleware.com.key -out spidermiddleware.com.csr openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt openssl ca -days 3650 -in spidermiddleware.com.csr -out spidermiddleware.com.crt -cert ca.crt -keyfile ca.key openssl pkcs12 -export -clcerts -in spidermiddleware.com.crt -inkey spidermiddleware.com.key -out spidermiddleware.com.p12 openssl x509 -days 3650 -in spidermiddleware.com.crt -out spidermiddleware.com.cer openssl pkcs12 -export -clcerts -in spidermiddleware.com.cer -inkey spidermiddleware.com.key -out spidermiddleware.com.p12 客户端: openssl genrsa -des3 -out middlewareclient.key 2048 openssl rsa -in middlewareclient.key -out middlewareclient.key openssl req -days 3650 -new -key middlewareclient.key -out middlewareclient.csr openssl ca -days 3650 -in middlewareclient.csr -out middlewareclient.crt -cert ca.crt -keyfile ca.key openssl pkcs12 -export -clcerts -in middlewareclient.crt -inkey middlewareclient.key -out middlewareclient.p12 openssl x509 -days 3650 -in middlewareclient.crt -out middlewareclient.cer keytool -import -alias cetc -file server.crt -keystore server.p12 openssl s_client -showcerts -connect tmw.zhixin.com:40304