OpenSSL是一個(gè)多用途的、跨平臺(tái)的密碼工具，能夠提供創(chuàng)建SSL套接層的庫(kù)，以及一套用于管理SSL網(wǎng)站的強(qiáng)大的工具。以下是在使用OpenSSL時(shí)，你可能需要執(zhí)行的一些常見(jiàn)的任務(wù)。

生成證書(shū)請(qǐng)求

獲取簽名SSL證書(shū)涉及到大量的業(yè)務(wù)驗(yàn)證流程。為了生成證書(shū)簽名請(qǐng)求（CSR），請(qǐng)執(zhí)行以下命令。

openssl req -new -newkey rsa:1024 -nodes -keyout key.pem -out req.pem

讓我們回顧一下命令：

• req激活處理證書(shū)請(qǐng)求簽名的部分openssl


• -new生成一個(gè)新的請(qǐng)求


• -newkey生成一個(gè)新的私有密鑰


• Rsa：1024 1024是私有密鑰的位長(zhǎng)度。你也可以使用2048和512或更短的密鑰，但是請(qǐng)注意，密鑰的強(qiáng)隊(duì)?wèi)?yīng)當(dāng)與你的證書(shū)機(jī)構(gòu)提供給你的服務(wù)類型相匹配。


• -nodes沒(méi)有數(shù)據(jù)加密標(biāo)準(zhǔn)，可以在沒(méi)有密碼保護(hù)的情況下，存儲(chǔ)私有密鑰。盡管這不是最好的做法，但是許多人都沒(méi)有設(shè)置密碼或在之后再移除它，因?yàn)閾碛忻艽a保護(hù)密鑰的服務(wù)在沒(méi)有輸入密碼的情況下，是不能自動(dòng)重啟的。


• -keyout key.pem在一個(gè)名為key.pem的文件中存儲(chǔ)私有密鑰


• -out req.pem在一個(gè)名為key.pem的文件中存儲(chǔ)證書(shū)請(qǐng)求

這一命令將以交互方式運(yùn)行，并向你詢問(wèn)大量的問(wèn)題，請(qǐng)注意，你的證書(shū)機(jī)構(gòu)將會(huì)再次和交叉確認(rèn)你的答案，同時(shí)你的答案必須與有關(guān)你的公司的注冊(cè)信息的其他合法文檔相一致。以下是提交正確答案的一些技巧。

填寫(xiě)你的公司所在國(guó)家的國(guó)家代碼（兩個(gè)字母），如果你不確定使用哪個(gè)代碼，請(qǐng)咨詢wikipedia。

Country Name (2 letter code) [AU]:

美國(guó)州名，對(duì)于其他國(guó)家為大的管理區(qū)域：

State or Province Name (full name) [Some-State]:

城市

Locality Name (eg, city) []:

公司全名，請(qǐng)從你的公司注冊(cè)表中把這一名字復(fù)制過(guò)來(lái)。使用&而不是“和”，諸如這樣的一個(gè)差別可能會(huì)使你的請(qǐng)求遭到拒絕。

Organization Name (eg, company) [Internet Widgits Pty Ltd]:

公司子部門(mén)或產(chǎn)品名

Organizational Unit Name (eg, section) []:

你的域名，如果是通配符證書(shū)，使用星號(hào)，像這樣：*.mycompany.com

Common Name (eg, YOUR name) []:

用證書(shū)顯示的電子郵件

Email Address []:

在新生成的請(qǐng)求上使用這一命令來(lái)再次確認(rèn)信息：

openssl req -in req.pem -noout -text

將名為key.pem的私有密鑰文件保存在一個(gè)安全的位置。之后它將被用來(lái)配置web服務(wù)器。應(yīng)當(dāng)將請(qǐng)求文件req.pem發(fā)送給你的證書(shū)機(jī)構(gòu)，進(jìn)行簽名。

生成自我簽名密鑰

按以下步驟操作，你可以為一個(gè)開(kāi)發(fā)服務(wù)器生成自我簽名密鑰。

創(chuàng)建一個(gè)空目錄然后進(jìn)入它。執(zhí)行以下命令。請(qǐng)注意反向斜線（“\”）允許單條命令跨越若干行。在我們的例子中，它被用來(lái)適應(yīng)這個(gè)文件中的命令：

$ openssl req -x509 -days 365 -nodes -newkey rsa:1024 \

? ? ? ? ? ? ? -keyout key.pem -out cert.pem

你可以按enter建，將所有答案設(shè)為默認(rèn)值，除了這一個(gè)：

Common Name (eg, YOUR name) []:

輸入用于開(kāi)發(fā)服務(wù)器的dns記錄，作為這個(gè)問(wèn)題的答案。

好了，兩個(gè)新的PEM文件就將創(chuàng)建好了，“cert.pem”包含你的證書(shū)，而“key.pem”包含自我簽名密鑰。

測(cè)試SSL服務(wù)器

你可以使用在客戶端創(chuàng)建的OpenSSL來(lái)連接到web服務(wù)器，并顯示證書(shū)鏈。將服務(wù)器地址和端口替換為你自己的：

$ openssl s_client -connect www.facebook.com:443 -showcerts

以下是一個(gè)典型的輸出，其中包括了證書(shū)鏈：

CONNECTED(00000003)

depth=1 O = CA, OU = "CA", OU = CA, OU = CA

verify error:num=20:unable to get local issuer certificate

verify return:0

---

Certificate chain

?0 s:/C=US/ST=California/L=Palo Alto/O=mysite/CN=mysite.com

? ?i:/O=CA/OU=CA/OU=CA/OU=CA

-----BEGIN CERTIFICATE-----

MIIDnzCCAwigAwIBAgIQCSGX4cDpzQPaNSQ2VhCGgTANBgkqhkiG9w0BAQUFADCB

ujEfMB0GA1UEChMWVmVyaVNpZ24gVHJ1c3QgTmV0d29yazEXMBUGA1UECxMOVmVy

aVNpZ24sIEluYy4xMzAxBgNVBAsTKlZlcmlTaWduIEludGVybmF0aW9uYWwgU2Vy

A .... MANY LINES LIKE THAT .... .... MANY LINES LIKE THAT ....?

gjRaROuWGxfY25KebCQpoBW2PJp3S1JmqHHyxjk4mzr+tzWK0Qn+tlBUy9igtkIh

VybjO+AxBZve1qyJIsVraz8wrw==

-----END CERTIFICATE-----

?1 s:/O=CA/OU=CA/OU=CA/OU=CA

? ?i:/C=US/O=CA/OU=CA

-----BEGIN CERTIFICATE-----

MIIDgzCCAuygAwIBAgIQRvzrurTQLw+SYJgjP5MHjzANBgkqhkiG9w0BAQUFADBf

MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIEluYy4xNzA1BgNVBAsT

LkNsYXNzIDMgUHVibGljIFByaW1hcnkgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkw

A .... MANY LINES LIKE THAT .... .... MANY LINES LIKE THAT ....?

OfamggNlEcS8vy2m9dk7CrWY+rN4uR7yK0xi1f2yeh3fM/1z+aXYLYwq6tH8sCi2

6UlIE0uDihtIeyT3ON5vQVS4q1drBt/HotSp9vE2YoCI8ot11oBx

-----END CERTIFICATE-----

---

Server certificate

subject=/C=US/ST=California/L=Palo Alto/O=mysite/CN=mysite.com

issuer=/O=CA/OU=CA/OU=CA/OU=CA

---

No client certificate CA names sent

---

SSL handshake has read 2007 bytes and written 343 bytes

---

New, TLSv1/SSLv3, Cipher is RC4-MD5

Server public key is 1024 bit

Secure Renegotiation IS NOT supported

Compression: NONE

Expansion: NONE

SSL-Session:

? ? Protocol ?: SSLv3

? ? Cipher ? ?: RC4-MD5

? ? Session-ID: 244BE55....48F793

? ? Session-ID-ctx:?

? ? Master-Key: 18674D2....B3465946941C0C77DF2DE

? ? Key-Arg ? : None

? ? PSK identity: None

? ? PSK identity hint: None

? ? Start Time: 1325335498

? ? Timeout ? : 7200 (sec)

? ? Verify return code: 20 (unable to get local issuer certificate)

---

你可以將部分輸出復(fù)制到PEM文件中，并利用驗(yàn)證openssl命令對(duì)它們進(jìn)行進(jìn)一步檢查。