用openssl建立签名数字证书：建立CA

写在前面
准备环境
建立CA
建立证书并安装到apache
建立证书并安装到tomcat
建立证书和导入到Thunderbird
建立证书并签名.net文件
建立证书并签名jar文件

 

文件夹

根据本系列文章的环境，我把CA根证书保存在了/etc/openssl/root。因此，建立目录并进入该目录。

mkdir -p /etc/openssl/root;
cd /etc/openssl/root

CA证书

而后，建立一个CA的Key文件。该文件很是好重要。请好好保管。

openssl genrsa -des3 -out ca.key 2048

根据Key生成一个自签署的文件。在这里，证书的有效期是10年（实际上3650天）。

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

在签署的时候，openssl会提示输入证书的细节。适当的输入你的证书信息。好比我这里

Common Name (eg, your name or your server's hostname) []:ncowboy.blog.51cto.com
Email Address []:ncowboy@blog.51cto.com

到此为止，咱们的根证书就算建立好了。可是，该证书是不被信任的。除非你手动的把它导入到受信任区域里。下面就介绍下把自签署的根证书导入到Firefox和Windows证书管理器的步骤。

导入CA证书到Firefox

不一样的环境，导入方法不同。下面介绍Firefox证书管理器里的方法。

Firefox：Tool-Options-Advanced-Encrytion-View Certicates-Authorities，而后点导入。

选择咱们的证书以后，会出现一个提示。在这里，请所有选中复选框。

点击OK以后，就能够在验证机构里看到咱们导入的证书。

导入CA证书到Windows

经常使用的IE和Chrome，OutlookExpress等都使用Window的证书管理器。导入CA证书到Windows有两种方法：从证书管理器里启动安装；直接安装证书。当证书以crt扩展名保存的时候，Windows自动识别为数字证书，对其点右键便可出现安装的菜单。

没什么说的，下一步。

注意，这里要必须选择区域为“受信任人的根证书发型机构”。

 

完整安装。

 

结束向导之时，会有一个警告。确认以后，点确认。

 

到此为止，就完成了安装。而后咱们能够在Internet选项的数字证书管理器里（开始，运行，inetcpl.cpl，内容，证书）的受信任的根发行机构部分里看到咱们的证书。