這篇博文中主要講述如何在windows系統中建立本地SSL證書。

1.環境準備

1.1 系統環境：windows xp及以上

1.2 軟體環境：openssl-0.9.8k_WIN32

下載地址1：
七牛雲端儲存
下載地址2：
百度雲

1.3 證書建立的具體過程

1.3.1 解壓openssl-0.9.8k_WIN32.zip,進入解壓目錄的bin目錄中,開啟openssl.exe，以下的命令均在openssl.exe中執行。

1.3.2 生成私鑰

使用openssl工具生成一個RSA私鑰

genrsa -des3 -out server.key 2048

說明：生成rsa私鑰，des3演算法，2048位強度，server.key是祕鑰檔名。
注意：生成私鑰，需要提供一個至少4位的密碼。

1.3.3 生成CSR（證書籤名請求）

生成私鑰之後，便可以建立csr檔案了。
此時可以有兩種選擇。理想情況下，可以將證書傳送給證書頒發機構（CA），CA驗證過請求者的身份之後，會出具簽名證書（很貴）。另外，如果只是內部或者測試需求，也可以使用OpenSSL實現自簽名，具體操作如下：

req -new -key server.key -out server.csr

說明：需要依次輸入國家，地區，城市，組織，組織單位，Common Name和Email。其中Common Name，可以寫自己的名字或者域名，如果要支援https，Common Name應該與域名保持一致，否則會引起瀏覽器警告。
以下為樣例：

Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios
Organizational Unit Name (eg, section) []:info technology
Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com
Email Address []:

[email protected]

1.3.4 刪除私鑰中的密碼

在第1步建立私鑰的過程中，由於必須要指定一個密碼。而這個密碼會帶來一個副作用，那就是在每次Apache啟動Web伺服器時，都會要求輸入密碼，這顯然非常不方便。要刪除私鑰中的密碼，操作如下：

rsa -in server.key -out server_no_passwd.key

此時需要輸入建立私鑰時輸入的密碼
這時候的bin目錄下的檔案應該是這樣的

1.3.5 生成自簽名證書

如果你不想花錢讓CA簽名，或者只是測試SSL的具體實現。那麼，現在便可以著手生成一個自簽名的證書了。

需要注意的是，在使用自簽名的臨時證書時，瀏覽器會提示證書的頒發機構是未知的。

命令列輸入：

x509 -req -days 365 -in server.csr -signkey server_no_passwd.key -out server.crt

得到的server.crt就是我們需要的SSL證書了。
說明：crt上有證書持有人的資訊，持有人的公鑰，以及簽署者的簽名等資訊。當用戶安裝了證書之後，便意味著信任了這份證書，同時擁有了其中的公鑰。證書上會說明用途，例如伺服器認證，客戶端認證，或者簽署其他證書。當系統收到一份新的證書的時候，證書會說明，是由誰簽署的。如果這個簽署者確實可以簽署其他證書，並且收到證書上的簽名和簽署者的公鑰可以對上的時候，系統就自動信任新的證書。

重點來了

　自簽名不推薦，自己是自己擁有域名的話，直接去騰訊雲籤一個時長一年的專業CA機構簽發的dv型別證書就完事了