openssl 生成自签名证书

pojin (ID: 1)

头衔：论坛坛主

等级：究级天王[荣誉]

积分：2826
发帖：230 篇
来自：保密
注册：2023-12-09 09:36:49
造访：2026-05-05 13:56:22

[ 第 1 楼 ] 352

1：生成证书私钥：

openssl genrsa -des3 -out server.key 2048

然后两次输入4个字符作为密码，例如：1111

2：生成证书请求：

openssl req -new -key server.key -out server.csr

输入密码：1111，然后填写相关资料。注意，Common Name 那里填写需要签名的域名。

3：生成证书：

openssl x509 -req -days 36524 -in server.csr -signkey server.key -out server.crt

需要输入 server.key 的密码，即 1111

4：如果需要 pem 格式的证书，将 server.key 转 pem 即可：

openssl rsa -in server.key -out key.pem

需要输入 server.key 的密码，即 1111
server.crt 已经是 pem 格式，无需转换。

2024-07-14 20:18:58

IP：已设置保密

pojin (ID: 1)

头衔：论坛坛主

等级：究级天王[荣誉]

积分：2826
发帖：230 篇
来自：保密
注册：2023-12-09 09:36:49
造访：2026-05-05 13:56:22

[ 第 2 楼 ] 353

转成 pfx 格式以便导入 IIS，其中会要求输入密码：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

不过，某些服务器可能不兼容此证书，提示网络密码校验失败。这时需要找一台能导入的电脑先导进去，再导出来就正常了。

2024-07-14 20:19:10

IP：已设置保密

pojin (ID: 1)

头衔：论坛坛主

等级：究级天王[荣誉]

积分：2826
发帖：230 篇
来自：保密
注册：2023-12-09 09:36:49
造访：2026-05-05 13:56:22

[ 第 3 楼 ] 384

如果想在证书中显示中文信息，可以写一个配置文件 info.cfg：

[ req ]

utf8 = yes

prompt = no

string_mask = utf8only

distinguished_name = domain_info



[ domain_info ]

C = CN

ST = 某某省

L = 某某市

O = 单位名称科技有限公司

OU = 开发部

CN = fengyun.org

emailAddress = webmaster@fengyun.org

然后，在第二步操作时，使用：

openssl req -new -key server.key -out server.csr -config info.cfg

2024-12-13 21:02:11

IP：已设置保密