好的,以下是完整的步骤,帮助你在 Windows 系统中使用 OpenSSL 生成私钥(key)和 PEM 文件。假设你的 openssl.cnf 配置文件位于桌面。
步骤 1:打开命令提示符
- 按
Win + R键,打开"运行"对话框。 - 输入
cmd,然后按Enter键,打开命令提示符。
步骤 2:导航到桌面目录
假设你的桌面路径是 C:\Users\28581_000\Desktop,运行以下命令:
cmd
cd C:\Users\28581_000\Desktop步骤 3:生成私钥
运行以下命令生成一个 2048 位的 RSA 私钥,并将其保存为 private.key:
cmd
openssl genrsa -out private.key 2048步骤 4:生成证书签名请求(CSR)
运行以下命令生成一个证书签名请求(CSR),并将其保存为 csr.csr。在生成 CSR 时,系统会提示你输入一些信息,例如你的国家、地区、组织名称等。
cmd
openssl req -new -key private.key -out csr.csr -config openssl.cnf步骤 5:生成自签名证书
运行以下命令生成一个自签名证书,并将其保存为 certificate.crt。这个证书的有效期设置为 365 天。
cmd
openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt -config openssl.cnf步骤 6:合并私钥和证书为 PEM 文件
运行以下命令将私钥和证书合并为一个 PEM 文件,并将其保存为 server.pem:
cmd
copy private.key + certificate.crt server.pem完整步骤示例
以下是一个完整的命令序列,展示如何生成私钥、CSR 和自签名证书,并将它们合并为一个 PEM 文件:
cmd
C:\Users\28581_000\Desktop>cd C:\Users\28581_000\Desktop
C:\Users\28581_000\Desktop>openssl genrsa -out private.key 2048
C:\Users\28581_000\Desktop>openssl req -new -key private.key -out csr.csr -config openssl.cnf
C:\Users\28581_000\Desktop>openssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt -config openssl.cnf
C:\Users\28581_000\Desktop>copy private.key + certificate.crt server.pem注意事项
- 配置文件路径 :确保
openssl.cnf文件的路径正确。如果文件不在桌面,需要指定完整的路径。 - 私钥保护 :私钥文件(
private.key)是敏感信息,必须妥善保管,避免泄露。 - 证书有效期 :自签名证书的有效期可以根据需要调整(例如
-days 365表示有效期为 365 天)。 - CSR 信息:在生成 CSR 时,系统会提示你输入一些信息,例如你的国家、地区、组织名称等。这些信息将包含在你的证书中。
通过以上步骤,你应该能够成功生成所需的私钥、CSR 和证书,并将它们合并为一个 PEM 文件。如果在过程中遇到任何问题,请提供更多详细信息,以便进一步帮助你。
在生成证书签名请求(CSR)时,OpenSSL 有时会提示你输入一些额外的属性,例如"挑战密码"(Challenge Password)。这些额外属性通常用于增强证书的安全性,但在许多情况下,这些字段可以留空。
如何处理"挑战密码"提示
当你看到以下提示时:
A challenge password []:你可以选择以下两种方式之一来处理:
-
输入挑战密码:
- 如果你希望为证书请求设置一个挑战密码,可以输入一个安全的密码。这个密码通常用于在某些情况下验证证书请求的所有权。
- 例如,你可以输入一个复杂的密码,如
MySecurePassword123!。
-
留空挑战密码:
- 如果你不需要挑战密码,可以直接按
Enter键留空该字段。在大多数情况下,留空挑战密码是完全可以的。
- 如果你不需要挑战密码,可以直接按
完整的 CSR 生成过程
以下是生成 CSR 的完整过程,包括处理"挑战密码"提示的示例:
-
生成私钥:
cmdopenssl genrsa -out private.key 2048 -
生成 CSR:
cmdopenssl req -new -key private.key -out csr.csr -config openssl.cnf在生成 CSR 时,系统会提示你输入以下信息:
Country Name (2 letter code) [AU]: CN State or Province Name (full name) [Some-State]: Beijing Locality Name (eg, city) []: Beijing Organization Name (eg, company) [Internet Widgits Pty Ltd]: My Company Organizational Unit Name (eg, section) []: IT Department Common Name (e.g. server FQDN or YOUR name) []: www.example.com Email Address []: [email protected]接下来,系统可能会提示你输入额外的属性:
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:- 如果你不需要挑战密码,直接按
Enter键留空该字段。 - 如果你希望设置一个挑战密码,输入一个安全的密码,例如
MySecurePassword123!。
- 如果你不需要挑战密码,直接按
注意事项
- 挑战密码的用途:挑战密码通常用于在某些情况下验证证书请求的所有权。如果你不需要这个功能,可以留空该字段。
- 安全性:如果你选择设置挑战密码,请确保它是一个强密码,并妥善保管。
- 配置文件 :如果你使用的是自定义的
openssl.cnf配置文件,确保它正确配置了 CSR 的生成过程。
使用OpenSSL生成宝塔可用的SSL证书和密钥
要在宝塔面板上使用OpenSSL生成的SSL证书,你需要生成一个私钥和对应的证书签名请求(CSR),然后自签名或通过CA签名生成证书。
生成私钥和证书的步骤
-
生成私钥(如果还没有):
bashopenssl genrsa -out private.key 2048 -
生成证书签名请求(CSR):
bashopenssl req -new -key private.key -out csr.csr -config openssl.cnf执行此命令时,你需要填写一些组织信息。
-
生成自签名证书(适用于测试环境):
bashopenssl x509 -req -days 365 -in csr.csr -signkey private.key -out certificate.crt -
生成PEM格式文件 (宝塔需要):
PEM格式通常是将证书和私钥合并在一起。你可以创建一个包含两者的文件:
bashcat certificate.crt private.key > certificate.pem
宝塔面板使用说明
在宝塔面板中:
- 进入网站设置
- 找到SSL选项卡
- 选择"其他证书"
- 分别粘贴:
- 证书内容(.crt文件内容)到"证书(PEM格式)"文本框
- 私钥内容(.key文件内容)到"密钥(KEY格式)"文本框
- 保存并启用SSL
注意事项
- 对于生产环境,建议使用Let's Encrypt等免费CA颁发的证书,宝塔面板内置了自动获取功能
- 自签名证书浏览器会显示不安全警告
- 确保私钥文件安全,不要泄露
如果你需要为特定域名生成证书,可以在openssl.cnf中配置或在使用req命令时通过-subj参数指定。