创建用私钥签名的证书

生成证书文件

1.为服务器端和客户端准备公钥、私钥

• 生成服务器端私钥

  openssl genrsa -des3 -out server.key 2048
  

  -des3代表加上了加密，后面的2048是代表生成的密钥的位数，1024已经不是很安全

• 生成服务器端公钥

  openssl rsa -in server.key -pubout -out server.pem
  

• 生成客户端私钥

  openssl genrsa -des3 -out client.key 2048
  

• 生成客户端公钥

  openssl rsa -in client.key -pubout -out client.pem
  

1.生成 CA 机构证书

• 生成 CA 私钥

  openssl genrsa -des3 -out ca.key 2048
  

• 生成证书请求

   # X.509 Certificate Signing Request (CSR) Management.
  openssl req -new -key ca.key -out ca.csr
  

• 使用私钥为证书请求签名，生成给服务器签署的证书，格式是x509的PEM格式

  # X.509 Certificate Data Management.
  openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt -outform pem  -days 3650
  #-outform pem指定证书生成的格式，默认是pem，所以这个命令也可以写作成
  #-days 3650 指10年有效
  #也可以
  openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt
  

生成服务器端证书

• 服务端向CA生成证书请求

  # 服务器端需要向 CA 机构申请签名证书，在申请签名证书之前依然是创建自己的 CSR 文件
  openssl req -new -key server.key -out server.csr
  # 向自己的 CA 机构申请证书，签名过程需要 CA 的证书和私钥参与，最终颁发一个带有 CA 签名的证书
  openssl x509 -req -CA ca.crt -CAkey ca.key -CAcreateserial -in server.csr -out server.crt
  

• 生成cer文件

  #使用openssl 进行转换
  openssl x509 -in server.crt -out server.cer -outform der
  

简述 HTTPS 的运作

主要过程：

• 1.客户端生成一个随机数 random-client ，传到服务器端（Say Hello)
• 2.服务器端生成一个随机数 random-server ，和着公钥，一起回馈给客户端（I got it)
• 3.客户端收到的东西原封不动，加上 premaster secret （通过 random-client、 random-server 经过一定算法生成的东西），再一次送给服务器端，这次传过去的东西会使用公钥加密
• 4.服务器端先使用私钥解密，拿到 premaster secret ，此时客户端和服务器端都拥有了三个要素： random-client 、 random-server 和 premaster secret
• 5.安全通道已经建立，以后的交流都会校检上面的三个要素通过算法算出的session key

参考：

• 关于HTTPS握手流程
• Mac OS X 启用 Web 服务器
• 自签名https证书
• HTTPS证书生成原理和部署细节