OpenSSL 生成CA证书及终端用户证书

一、环境

• OpenSSL 1.0.2k
• FireFox 60.0 64位
• Chrome 66.0.3359.181 （正式版本）（32位）
• Internet Explorer 11.2248.14393.0
• Websocketd 0.3.0
• Nginx 1.12.2

二、生成CA根证书

1、准备ca配置文件，得到ca.conf

  $ vim ca.conf

内容如下：

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = Ted CA Test

2、生成ca秘钥，得到ca.key

  $ openssl genrsa -out ca.key 4096

3、生成ca证书签发请求，得到ca.csr

  $ openssl req -new -sha256 -out ca.csr -key ca.key -config ca.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

4、生成ca根证书，得到ca.crt

  $ openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt

三、生成服务端证书

1、配置文件

准备配置文件，得到server.conf，内容如下：

[ req ]
default_bits       = 2048
distinguished_name = req_distinguished_name
req_extensions     = req_ext

[ req_distinguished_name ]
countryName                 = Country Name (2 letter code)
countryName_default         = CN
stateOrProvinceName         = State or Province Name (full name)
stateOrProvinceName_default = JiangSu
localityName                = Locality Name (eg, city)
localityName_default        = NanJing
organizationName            = Organization Name (eg, company)
organizationName_default    = Sheld
commonName                  = Common Name (e.g. server FQDN or YOUR name)
commonName_max              = 64
commonName_default          = www.ted2018.com

[ req_ext ]
subjectAltName = @alt_names

[alt_names]
DNS.1   = www.ted-go.com
DNS.2   = www.ted2018.com
IP      = 192.168.93.145

Chrome 58以后不再使用CN校验地址（就是就是浏览器地址栏URL中的那个地址host）了，而是使用SAN，注意配置里写对，IE 11还是使用CN。

2、服务端**

 生成秘钥，得到server.key，命令如下：

  $ openssl genrsa -out server.key 2048

3、服务端CSR

  $ openssl req -new -sha256 -out server.csr -key server.key -config server.conf

配置文件中已经有默认值了，shell交互时一路回车就行。

4、服务端证书

用CA证书生成终端用户证书，得到server.crt

  $ openssl x509 -req -days 3650 -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt -extensions req_ext -extfile server.conf

四、验证

1、配置web服务器

Web服务器选用nginx，关键配置如下：

server {
        listen       443 ssl;
        server_name  localhost;
        root    D:\websocketd-0.3.0-windows_amd64;

        ssl_certificate      server.crt;
        ssl_certificate_key  server.key;

        ssl_session_cache    shared:SSL:1m;
        ssl_session_timeout  5m;

        ssl_ciphers  HIGH:!aNULL:!MD5;
        ssl_prefer_server_ciphers  on;

        location / {
            index  index.html index.htm;
        }
    }

把生成好的server.crt和server.key文件放在与 nginx.conf 同级目录下，然后启动nginx。

2、改hosts

在 /etc/hosts 文件中添加以下内容：

  127.0.0.1 www.ted2018.com

3、添加CA根证书

浏览器右键 ca.crt 安装，安装到“受信任的根证书颁发机构”（不然server.crt还是不受信任的）

4、Google浏览器验证

Chrome浏览器访问https://www.ted2018.com

Google 浏览器无警告，访问成功。

5、FireFox配置

火狐浏览器--选项--隐私与安全--证书--查看证书--证书颁发机构--导入，把CA根证书ca.crt导入进来，选中该证书，编辑信任，勾选“此证书可以标识网站”。

FireFox 浏览器访问https://www.ted2018.com

FireFox 浏览器无警告，访问成功。

6、IE11配置

IE11访问https://www.ted2018.com

IE11 浏览器无警告，访问成功。

到此 OpenSSL 生成CA证书及终端用户证书介绍完成。