Openssl Windows下編譯過程1、下載openssl源代碼以及相應的vc工程2、下載perl工具，如：ActivePerl-5.8.8.820-MSWin32-x86-274739.msi3、安裝ActivePerl4、打開控制臺程序，在openssl解壓后的目錄下執行Perl Configure VC-WIN32命令，注意，一定要在這個目錄下執行該命令，否則找不到Configure文件，當然，你也可以指定完整的Configure文件路徑。5、openssl目錄下運行ms\do_ms.bat6、打開VC工程，batch build所有工程，輸出的文件在out32dll里面Openssl 建立CA過程1、編譯openssl2、生成目錄樹CA認證中心需要下列相關目錄，請手動建立下列目錄。CARoot|__certs|__newcerts|__private|__crl3、在private目錄下生成隨機數文件.rnd可以用C:\CARoot>edit private\.rnd這種方式生成4、生成文本數據庫文件CARoot根目錄下手動創建一個空的文本數據庫文件index.txt5、生成證書序列號文件在CARoot下創建證書序列號文件serial,使用文本編輯器打開,在文件中輸入"01";(文件內容無銀號)，或者使用命令$echo 01>serial (注意確認serial文件內容為01，并且無引號)。C:\CARoot>echo 01 > serial6、修改配置文件將$OPENSSL_HOME下的apps\openssl.cnf拷貝到CARoot目錄下，然后修改CA的配置文件修改openssl.cnf文件將下面部分修改：[ CA_default ]dir ?= ./demoCA ?# Where everything is keptcerts ?= $dir/certs ?# Where the issued certs are keptcrl_dir ?= $dir/crl ?# Where the issued crl are keptdatabase = $dir/index.txt # database index file.new_certs_dir = $dir/newcerts ?# default place for new certs.certificate = $dir/cacert.pem ?# The CA certificateserial ?= $dir/serial ? # The current serial numbercrl ?= $dir/crl.pem ? # The current CRLprivate_key = $dir/private/cakey.pem# The private keyRANDFILE = $dir/private/.rand # private random number file修改后RANDFILE ?= $ENV::HOME/private/.rnd(修改默認的隨機數文件的位置)[ CA_default ]dir ?= ./ ?# Where everything is keptcerts ?= $dir/certs ?# Where the issued certs are keptcrl_dir ?= $dir/crl ?# Where the issued crl are keptdatabase = $dir/index.txt # database index file.new_certs_dir = $dir/newcerts ?# default place for new certs.certificate = $dir/private/ca.crt ?# The CA certificateserial ?= $dir/serial ? # The current serial numbercrl ?= $dir/crl.cer ?# The current CRLprivate_key = $dir/private/ca.key# The private keyRANDFILE = $dir/private/.rnd # private random number file?7、產生CA私鑰genrsa -out private\ca.key -rand private\.rnd 2048genrsa -out private\ca.key -rand private\.rnd -des3 2048 ?(生成des3加密的私鑰文件)生成2048位的私鑰文件，為保障安全使用第二種，用des3加密。8、生成CA證書req -new -x509 -days 3650 -key private\ca.key -out private\ca.crt -config openssl.cnf(查看證書文件：x509 -in cacert.pem -text -noout)-------------分界線后面是CA操作-----------------9、生成自簽名證書請求，并簽發證書生成密鑰genrsa -out certs\cert.key -rand private\.rnd -des3 2048生成證書請求req -new -x509 -days 3650 -key certs\cert.key -out certs\cert.crt -config openssl.cnf簽發自簽名證書ca -ss_cert certs\cert.crt -config openssl.cnf -policy policy_anything -out certs\signedcert.crt10、生成普通證書請求，并簽發證書生成密鑰及證書請求req -newkey rsa:1024 -keyout certs\mycert.key -out certs\mycert.pem -config openssl.cnf簽發證書ca -in certs\mycert.pem -out newcerts\mycert.cer -policy policy_anything -config openssl.cnf11、證書文件和密鑰文件合并成pfx文件pkcs12 -export -in certs\cert.crt -inkey certs\cert.key -out certs\mypkcs12.pfxpkcs12 -export -in certs\ciecc-ipedo.cer -inkey certs\ciecc-ipedo.key -out certs\ipedo.pfx12、通過請求生成cer和key文件ca -in certs\certreq.txt -config openssl.cnf -policy policy_anything -out certs\newipedo.cer?13、啟動OSCP服務器openssl ocsp -index ./index.txt -CA ./cacert.pem -rsigner ./cacert.pem -rkey ./private/cakey.pem -port 8888openssl ocsp -index ./index.txt -CA ./private/ca.crt -rsigner ./private/ca.crt -rkey ./private/ca.key -port 888814、OCSP查詢openssl ocsp -issuer demoCA/cacert.pem -cert ssl.crt/server.crt -host 0.0.0.0:88881、吊銷已簽發的證書可以使用ca中的 -revoke 命令：openssl ca -revoke client.pem -keyfile ca.key -cert ca.crt這里可能會有一個問題，因為默認的情況下index.txt文件應該放在demoCA文件夾下面，因此需要在這里建立一個demoCA文件夾并建立一個index.txt文件，就可以了2、證書被吊銷之后，還需要發布新的CRL文件：openssl ca -gencrl ?-out ca.crl -keyfile ca.key -cert ca.crt驗證證書的狀態：verify -CAfile /usr/share/ssl/certs/ca-bundle.crt -purpose any -verbose amd.cer?

轉載于:https://www.cnblogs.com/ahuo/archive/2011/08/18/2144332.html

總結

以上是生活随笔為你收集整理的OpenSSL命令的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。