热议的Https----免费证书

因为苹果平台的限制（截止2017年01月01日全面禁止http链接）以及通讯安全的须要，最近https成为了你们热门讨论的话题。

先上能够被主流浏览器识别出来的CA免费证书机构：

一、https://startssl.com 这是一家国外的CA证书机构，目前支持免费获取域名的证书认证（期限3年）；

二、阿里云的证书服务——也能够申请到免费的证书（期限1年）。

若是你的服务器用的是阿里云的SLB服务，建议使用阿里的证书服务产品（一个系统出来的东东，容易上手）。

免费获取CA证书的另一种方式就是自签的形式了，缺陷是不被浏览器信任，有点是能够自定义设置期限。

若是你的服务不须要与客户端双向认证，建议使用startssl和阿里云的免费证书。

下面重点就是描述下自签证书的生成方式：

//建立根证书，并采用自签名签署它
//建立私钥
openssl genrsa -out root-key.pem 1024
//建立证书请求
openssl req -new -out root-req.csr -key root-key.pem
//自签署根证书
openssl x509 -req -in root-req.csr -out root-cert.pem -signkey root-key.pem -days 3650
//将根证书导出成浏览器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in root-cert.pem -inkey root-key.pem -out root.p12

//建立服务器证书，并采用根证书签署它
//建立私钥
openssl genrsa -out server-key.pem 1024
//建立证书请求
openssl req -new -out server-req.csr -key server-key.pem
//签署服务器证书
openssl x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//将客户证书导出成浏览器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in server-cert.pem -inkey server-key.pem -out server.p12

//建立客户证书，并采用根证书签署它
//建立私钥
openssl genrsa -out client-key.pem 1024
//建立证书请求
openssl req -new -out client-req.csr -key client-key.pem
//签署客户证书
openssl x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA root-cert.pem -CAkey root-key.pem -CAcreateserial -days 3650
//将客户证书导出成浏览器支持的.p12（PKCS12）格式
openssl pkcs12 -export -clcerts -in client-cert.pem -inkey client-key.pem -out client.p12
//将客户端证书导出成IOS支持的.cer格式
openssl x509 -in client-cert.pem -out client.cer -outform der

//将根证书导入到trustStore中 keytool -import -v -trustcacerts -storepass password -alias root -file root-cert.pem -keystore root.jksv