Windows 上使用 OpenSSL 生成一个 10 年有效期的自签名 PFX 证书
以下是在 Windows 上使用 OpenSSL 生成一个 10 年有效期的自签名 PFX 证书的步骤:
-
确保 OpenSSL 已安装。你可以从 OpenSSL 官方网站下载并安装,或者如果是通过其他方式安装确保其在系统路径中。
-
打开命令提示符(以管理员身份运行)。
-
创建一个配置文件(例如
openssl.cnf
),可以放在一个合适的位置,内容如下:
[ req ]
default_bits = 2048
distinguished_name = req_distinguished_name
req_extensions = v3_req
prompt = no[ req_distinguished_name ]
C = CN
ST = YourState
L = YourCity
O = YourOrganization
OU = YourUnit
CN = YourCommonName[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names[ alt_names ]
DNS.1 = localhost
你可以根据自己的实际情况修改国家(C)、省份(ST)、城市(L)、组织(O)、单位(OU)和通用名称(CN)等信息。
- 生成私钥:
openssl genrsa -out private.key 2048
- 生成证书签名请求(CSR):
openssl req -new -key private.key -out certificate.csr -config openssl.cnf
- 生成自签名证书,设置 10 年有效期(3650 天):
openssl x509 -req -days 3650 -in certificate.csr -signkey private.key -out certificate.crt -extensions v3_req -extfile openssl.cnf
- 创建 PFX 格式证书(包含私钥和证书):
openssl pkcs12 -export -out certificate.pfx -inkey private.key -in certificate.crt -name "YourCertificate" -passout pass:YourPassword
将 "YourPassword"
替换为你想要设置的 PFX 证书密码,"YourCertificate"
可以替换为你自定义的证书名称。
这样就生成了一个 10 年有效期的自签名 PFX 证书。在使用该证书时,可能会因为是自签名证书而在某些应用或浏览器中出现安全警告,需要根据具体情况进行处理和信任设置。