用openssl建立簽名數字證書：建立CA

寫在前面
準備環境
建立CA
建立證書並安裝到apache
建立證書並安裝到tomcat
建立證書和導入到Thunderbird
建立證書並簽名.net文件
建立證書並簽名jar文件

 

文件夾

根據本系列文章的環境，我把CA根證書保存在了/etc/openssl/root。因此，建立目錄並進入該目錄。

mkdir -p /etc/openssl/root;
cd /etc/openssl/root

CA證書

而後，建立一個CA的Key文件。該文件很是好重要。請好好保管。

openssl genrsa -des3 -out ca.key 2048

根據Key生成一個自簽署的文件。在這裏，證書的有效期是10年（實際上3650天）。

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

在簽署的時候，openssl會提示輸入證書的細節。適當的輸入你的證書信息。好比我這裏

Common Name (eg, your name or your server's hostname) []:ncowboy.blog.51cto.com
Email Address []:ncowboy@blog.51cto.com

到此爲止，咱們的根證書就算建立好了。可是，該證書是不被信任的。除非你手動的把它導入到受信任區域裏。下面就介紹下把自簽署的根證書導入到Firefox和Windows證書管理器的步驟。

導入CA證書到Firefox

不一樣的環境，導入方法不同。下面介紹Firefox證書管理器裏的方法。

Firefox：Tool-Options-Advanced-Encrytion-View Certicates-Authorities，而後點導入。

選擇咱們的證書以後，會出現一個提示。在這裏，請所有選中複選框。

點擊OK以後，就能夠在驗證機構裏看到咱們導入的證書。

導入CA證書到Windows

經常使用的IE和Chrome，OutlookExpress等都使用Window的證書管理器。導入CA證書到Windows有兩種方法：從證書管理器裏啓動安裝；直接安裝證書。當證書以crt擴展名保存的時候，Windows自動識別爲數字證書，對其點右鍵便可出現安裝的菜單。

沒什麼說的，下一步。

注意，這裏要必須選擇區域爲「受信任人的根證書髮型機構」。

 

完整安裝。

 

結束嚮導之時，會有一個警告。確認以後，點確認。

 

到此爲止，就完成了安裝。而後咱們能夠在Internet選項的數字證書管理器裏（開始，運行，inetcpl.cpl，內容，證書）的受信任的根發行機構部分裏看到咱們的證書。