熱議的Https----免費證書

因爲蘋果平臺的限制（截止2017年01月01日全面禁止http鏈接）以及通訊安全的須要，最近https成爲了你們熱門討論的話題。

先上能夠被主流瀏覽器識別出來的CA免費證書機構：

一、https://startssl.com 這是一家國外的CA證書機構，目前支持免費獲取域名的證書認證（期限3年）；

二、阿里雲的證書服務——也能夠申請到免費的證書（期限1年）。

若是你的服務器用的是阿里雲的SLB服務，建議使用阿里的證書服務產品（一個系統出來的東東，容易上手）。

免費獲取CA證書的另一種方式就是自籤的形式了，缺陷是不被瀏覽器信任，有點是能夠自定義設置期限。

若是你的服務不須要與客戶端雙向認證，建議使用startssl和阿里雲的免費證書。

下面重點就是描述下自簽證書的生成方式：

//建立根證書，並採用自簽名簽署它
//建立私鑰
openssl genrsa -out root-key.pem 1024
//建立證書請求
openssl req -new -out root-req.csr -key root-key.pem
//自簽署根證書
openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 3650
//將根證書導出成瀏覽器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12

//建立服務器證書，並採用根證書籤署它
//建立私鑰
openssl genrsa -out server-key.pem 1024
//建立證書請求
openssl req -new -out server-req.csr -key server-key.pem
//簽署服務器證書
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//將客戶證書導出成瀏覽器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12

//建立客戶證書，並採用根證書籤署它
//建立私鑰
openssl genrsa -out client-key.pem 1024
//建立證書請求
openssl req -new -out client-req.csr -key client-key.pem
//簽署客戶證書
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//將客戶證書導出成瀏覽器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12
//將客戶端證書導出成IOS支持的.cer格式
openssl x509 -in client-cert.pem -out client.cer -outform der

//將根證書導入到trustStore中 keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem -keystore root.jksv