openssl win10安装

一、安装

openssl下载地址：https://links.jianshu.com/go?to=https%3A%2F%2Foomake.com%2Fdownload%2Fopenssl
我下载的：

安装中，有一步 ：选择复制到window目录还是bin目录时，选择bin 

环境变量：（注意这是exe安装的环境变量，用压缩包的不同）
    path：增加，
    新增：

配置环境变量以后最好重启一下

二、使用

打开命令提示行（cmd.exe），----如果是win7环境需要以管理员身份运行cmd.exe（一般在C:\Windows\System32下查找到cmd.exe右建以管理员身份运行），并切换到Openssl安装目录的bin目录下

（一）CA证书

     1.创建私钥：
         F:\OpenSSL-Win64\bin>openssl genrsa -out f:/ca/ca-key.pem 1024
         
     2.创建证书请求：
         F:\OpenSSL-Win64\bin>openssl req -new -key f:/ca/ca-key.pem -config F:\OpenSSL-Win64\bin\cnf\openssl.cnf -out f:/ca/ca-req.csr
     3.自签署证书：
        F:\OpenSSL-Win64\bin>openssl x509 -req -in f:/ca/ca-req.csr -out f:/ca/ca-cert.pem -signkey f:/ca/ca-key.pem -days 365

     4.将证书导出成浏览器支持的.p12格式：
        F:\OpenSSL-Win64\bin>openssl pkcs12 -export -clcerts -in f:/ca/ca-cert.pem -inkey f:/ca/ca-key.pem -out f:/ca/ca.p12
           

（二）生成server证书

     1.创建私钥：
         openssl genrsa -out server/server-key.pem 1024
     2.创建证书请求：
         openssl req -new -out server/server-req.csr -key server/server-key.pem -config openssl.cnf
Common Name (eg, YOUR name) []:localhost   注释：一定要写服务器所在的ip地址//红色这里是本机测试，所以我写localhost
     3.自签署证书：
         openssl x509 -req -in server/server-req.csr -out server/server-cert.pem -signkeyserver/server-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial-days 3650
     4.将证书导出成浏览器支持的.p12格式：
         openssl pkcs12 -export -clcerts -in server/server-cert.pem -inkey server/server-key.pem-out server/server.p12

（三）生成client证书

     1.创建私钥：
         openssl genrsa -out client/client-key.pem 1024
     2.创建证书请求：
         openssl req -new -out client/client-req.csr -key client/client-key.pem -config openssl.cnf
     3.自签署证书：
         openss lx509 -req -in client/client-req.csr -out client/client-cert.pem -signkeyclient/client-key.pem -CA ca/ca-cert.pem -CAkey ca/ca-key.pem -CAcreateserial-days 3650
     4.将证书导出成浏览器支持的.p12格式：
​​​​​​​         openssl pkcs12 -export -clcerts-in client/client-cert.pem -inkey client/client-key.pem -out client/client_err.p12
     5. 生成客户端证书导出成浏览器支持的.p12格式（用于导入浏览器）：
​​​​​​​         openssl pkcs12 -export -clcerts -in ca/ca-cert.pem -inkey ca/ca-key.pem -outclient/client.p12

（四）根据ca证书生成jks文件

          keytool -keystore F:/OpenSSL-Win64/bin/jks/truststore.jks -keypass 222222-storepass 222222 -alias ca -import -trustcacerts -file F:/ca/ca-cert.pem

（五）配置tomcat ssl

修改conf/server.xml。配置如下。xml 代码

   <Connectorport="8443" protocol="org.apache.coyote.http11.Http11Protocol" SSLEnabled="true"             
       maxThreads="150" scheme="https" secure="true" connectionTimeout="20000"     
       clientAuth="true" sslProtocol="TLS" useBodyEncodingForURI="true" enableLookups="false"
       acceptorThreadCount="2" socketBuffer="18000" maxHttpHeaderSize="262144"   
       keystoreFile="server.p12" keystorePass="123456" keystoreType="PKCS12"       
       truststoreFile="truststore.jks" truststorePass="222222" truststoreType="JKS"        
       SSLCertificateFile="../bin/server-cert.pem"             
       SSLCertificateKeyFile="../bin/server-key.pem" />

     这里使用到了四个文件，各个文件都是在前面的步骤中生成的。
     蓝色标识的server.p12和truststore.jks这两个文件需要放在tomcat的根目录下（如C:\Venustech\TSOC\webserver）。
     粉色的server-cert.pem和server-key.pem默认是放在tomcat的bin文件夹下的（如C:\Venustech\TSOC\webserver\bin）。
     绿色部分为必须的，否则证书不生效。

（六）验证ssl配置是否正确

访问系统http://localhost :8443/usm。如图：

 

（七）导入证书

将ca/ca.p12，client/client.p12分别导入到IE中去（打开IE->;Internet选项->内容->证书）。

ca.p12导入至受信任的根证书颁发机构，client.p12导入至个人。

 重新访问系统。