自建ca證書

1. 如何創建一個自簽名的ssl證書

一、自簽名SSL證書瀏覽器不信任、沒有加密套件（這種情況下還不如HTTP來的安全）任何人都可以創建1個與您相同的證書，沒有機構管制。

二、確定好需要的域名，並且登陸CA機構辦理合法SSL證書：網頁鏈接

2. certificate怎麼創建

創建X509證書方法較多，在Windows 環境下大致總結了幾中辦法， 1) 通過CA獲取證書， 2) 通過微軟提供的makecert 工具得到測試證書 3) 編程的方法創建，.Net提供了 X509Certificate2 類，該類可以用於創建證書，但只能從RawData中創建，創建後無法修改除FriendlyName以外的任何屬性。 我在互聯網上找了很久，始終沒有找到完全通過程序創建自定義的證書的方法。後來想了一個折中辦法，就是用程序調用 makecert.exe 先生成一個證書，證書的一些參數如Subject，有效期，序列號等可以通過參數傳入，然後把生成的證書文件讀到Rawdata中，得到X509Certificate2 類型的證書對象。當然這種方法確實比較笨，必須要依賴外部進程。等後面有時間的話，我還是想按照X509 V3 標准，自己創建RawData，然後生成證書，這樣應該是比較靈活的做法。不知道網友們有沒有什麼更好的方法來創建一個自定義的證書。 通過 makecert.exe 創建X509證書的代碼如下，供大家參考 static object semObj = new object(); /// <summary> /// 自定義的證書信息 /// </summary> public class T_CertInfo { public String FriendlyName; public String Subject; public DateTime BeginDate; public DateTime EndDate; public int SerialNumber; } /// <summary> /// 生成X509證書 /// </summary> /// <param name="makecrtPath">makecert進程的目錄</param> /// <param name="crtPath">證書文件臨時目錄</param> /// <param name="certInfo">證書信息</param> /// <returns></returns> public static X509Certificate2 CreateCertificate(String makecrtPath, String crtPath, T_CertInfo certInfo) { Debug.Assert(certInfo != null); Debug.Assert(certInfo.Subject != null); string MakeCert = makecrtPath + "makecert.exe"; string fileName = crtPath + "cer"; string userName = Guid.NewGuid().ToString(); StringBuilder arguments = new StringBuilder(); arguments.AppendFormat("-r -n \"{0}\" -ss my -sr currentuser -sky exchange ", certInfo.Subject); if (certInfo.SerialNumber > 0) { arguments.AppendFormat("-# {0} ", certInfo.SerialNumber); } arguments.AppendFormat("-b {0} ", certInfo.BeginDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("-e {0} ", certInfo.EndDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("\"{0}\"", fileName);

3. 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

4. 如何創建一個自簽名的SSL證書

自簽名SSL證書只適合內部使用或測試需要，網站使用自簽名SSL證書存在極大的風險：

一：自簽SSL證書最容易被假冒和偽造，被欺詐網站利用
自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

二：部署自簽SSL證書的網站，瀏覽器會持續彈出警告
自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

三：自簽SSL證書最容易受到SSL中間人攻擊
用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。

典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網，中間人可以截獲用戶的數據包，包括SSL數據包，並做一個假的伺服器SSL證書與用戶通信，從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時，瀏覽器會警告用戶此證書不受信任，需要用戶確認是否信任此證書，用戶習慣性點擊「繼續瀏覽」，中間人攻擊輕而易舉的實現了。

四：自簽SSL證書沒有可訪問的吊銷列表
這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。

5. 我用linux的openssl自建CA並簽發證書，自建的CA在windows下顯示不能頒發證書！！如圖:

證書導入必須出現導入證書機構代碼、才能正常使用

6. 換成https是申請證書還是自建證書

從安全性和通用性考慮，建議向CA機構申請證書，自建證書，首先一個就是瀏覽回器不信任答，如果是用於對外訪問的站點，那麼無疑是自己斷自己財路。自建證書，瀏覽器會阻止用戶訪問你的網站。
現在https證書也很便宜，基礎級DV 證書才400多一年，推薦參考：http://www.wosign.com/price.htm

7. 自建https 此網站的安全證書有問題 怎麼解決

自建HTTPS證書，也稱自簽證書，類似於12306使用的證書，這種自簽證書是不被瀏覽器和操作系統信任的，訪問時會提示此網站的安全證書有問題，你需要在客戶端安裝根證書才可以解決提示。還有另外一種方法就是到合法的CA機構申請合法可信的HTTPS證書，瀏覽器信任，更加安全可信。參考解決辦法：https://www.wosign.com/faq/faq2016-0307-01.htm

8. 自簽名證書和私有CA簽名的證書的區別 創建

自簽名證書是由創建它的人簽署的證書，而不是由受信任的證書機構簽發專的證書。自簽名證書普遍存屬在嚴重的安全漏洞，極易受到攻擊，而且通常不受瀏覽器信任。因此，不建議大家使用自簽名證書，以免造成巨大的安全隱患和安全風險，特別是重要的網銀系統、網上證券系統和電子商務系統。
使用自簽名證書兩個主要的弊端：
1）訪問者的連接可能會被劫持，從而攻擊者便能查看所有發送的數據（因此違背了加密連接的目的）
2）證書不能向受信任的證書那樣進行撤銷。

9. ios上架支持自己創建的ca證書嗎

首先打開蘋果的開發者網站（Tips：這里我就不貼網址了） 點擊網站上方的Member Center，會跳轉到登錄界面（Tips:如果登錄過，並選擇了瀏覽器保存此密碼的時候，默認是登錄狀態）。 2 如圖所示輸入你的開發者賬號和密碼。 輸入完成後點擊"Login"（Tips:左邊是注冊，下邊是找回密碼，右邊是登錄，如果沒有開發者賬號，則需要用蘋果賬號申請開發者，這里不多說申請過程以及找回過程）。 3 登錄後的界面如圖所示，如果沒有最上面的兩個選項（Dev Centers、Certificates,Identifiers&Profiles），說明你當前登錄的賬號還不是開發者，需要一個開發者賬號登錄才會有。 如果界面和我一樣，恭喜你可以進行真機調試，以及發布等證書操作。 4 首先點擊「Certificates,Identifiers&Profiles」，進入證書界面 我們會看到左邊「iOS Apps」下面有四個選項：「Certificates」、「Identifiers」、「Devices」、「Provisioning Profiles」（Tips：如果沒有該選項或者為空，則說明該開發者賬號不是針對於iOS手機app開發的，如，當前演示的開發者賬號，是用來做iOS開發的，故此中間的Mac Apps為空，該模塊是在開發者賬號申請的時候選擇的，這里不過多贅述） 5 這里我會以「iOS Apps」給大家演示 首先點擊「iOS Apps」下的第一個「Certificates」，該選項作用按我的理解就是授權一台電腦允許進行真機調試（這只是為了大家好理解，不必太較真）。 進入界面後，左邊一列就是我們剛才在上一頁看到的四個選項的具體目錄，右邊就是對應目錄「Certificates」下的「All」裡面的具體內容，當前目錄就是授權證書，我們看右邊有一列名字叫做Type，Type標示證書的種類，例如當前大家看到的「iOS Distribution」發布授權證書、「iOS Development」調試授權證書、「APNs Development iOS」推送調試授權證書等。 點擊對應證書會出現證書詳情，有移除和下載選項，這里我們點擊右上方的「十」號進行授權證書創建。 6 之後我們會看到如圖界面，此處我們選擇「Development」下的「iOS App Development」，進行真機調試電腦授權申請。然後界面往下拉，點擊界面最下方的「Continue」進行創建。 7 這一步，我們繼續點擊「Continue」。這一步是說，需要電腦的鑰匙串配置文件，稍後我會給大家說，所以我們先點擊「continue」，進入下一步。 8 這一步，需要我們上傳鑰匙串的配置文件。 好，我們現在打開我們的Launchpad，找到「鑰匙串訪問」，打開之後，不用等界面出來，直接在上方導航條中選擇「鑰匙串訪問」目錄下的「證書助理」，選擇「從證書頒發機構請求證書」。如圖： 9 如果想通過郵件接收證書，則需要填寫郵箱，兩個郵箱填寫一樣就行，之後在「請求是：」裡面選擇用「電子郵件發給CA」，即可通過電子郵件收到鑰匙串配置文件。 在這里筆者就用最簡單粗暴的方式來獲得鑰匙串配置文件，直接通過「請求是：」中選擇「存儲到磁碟」，上面的郵箱就可以隨便填寫了（是必填項，但不需要通過郵箱獲得，所以隨便填寫就好）。 點擊繼續，我們為我們的文件選一個位置，這里我就選擇桌面了，當然一定要選擇自己能找到的位置。 10 我們在桌面上找到我們的鑰匙串授權文件，如圖所示。（Tips：生成的鑰匙串配置文件是我們的當前電腦的，也就是對當前電腦授權真機開發，如果需要授權其他電腦，則需要其他電腦上對應的鑰匙串配置文件） 之後我們回到瀏覽器，我們剛才需要上傳的地方，點擊「choose file」，找到為我們剛才放置鑰匙串配置文件的地方。選中後，點擊「打開」，點擊「Generate」生成我們的授權證書。 11 生成之後，我們會跳轉到Download界面，點擊界面中的「Download」下載下來，下載位置一定要自己找得到。 雙擊我們生成的.cer文件，一定要雙擊，雙擊後它會默認安裝到鑰匙串中，不然使用的時候會出現問題。 截止到目前為止，我們已經完成了對當前電腦授權，允許當前電腦進行真機開發（Tips:即鑰匙串已經安裝了授權證書，如果是用的其他電腦的鑰匙串配置文件，則需要吧下載下來的cer文件，給對應電腦，並在對應電腦上雙擊）。 12 我們已經完成第一步了，之後點擊左邊目錄中的「Identifiers」下的「App IDs」，這里是為我們的工程創建一個標示，也就是俗稱簽名，只有滿足標示的工程才能進行真機調試。 同樣點擊右上方的「十」號按鈕，進行創建標示。如圖。 這里，需要我們創建標示了，在「name」的地方填寫標示的名字，方便最後一步生成證書的時候，容易找到我們創建的標示。 接下來在 「App ID Suffix」 中的 「Explicit App ID」 的 「Bundle ID:」 裡面填寫我們的標示（也就是簽名），格式下方給出的有例子。按照格式來些就好。筆者的習慣就是喜歡把公司網址反寫最後加上項目名字，例如：com..ZYBaiExpPro。 當然，我們不必要為每一個工程都生成一個簽名標示，蘋果給我們提供了一種廣域標示的方法。 還是同樣的界面，我們選擇「App ID Suffix」 中的 「Wildcard App ID」裡面的「Bundle ID:」 填寫我們的簽名，注意格式下方給出的有例子。這里筆者也是按照這樣的格式來寫的，依然是「 com..* 」，用的時候把「 * 」替換成各種你需要的字元就行。也就是一個廣域標示可以對應多個工程。如圖。 之後我們點擊最下方的「continue」，進行下一步。 核對一下信息後，然後直接點擊最下方的「Submit」，發布我們創建的標示。 到這一步我們的標示已經創建完成了。 我們授權完電腦設定完簽名之後，需要添加設備了，也就是允許進行真機調試的設備，例如（iPhone、ipad等）。 點擊左邊目錄中的「Devices」，同樣點擊右上方的「十」號，進行添加。 我們可以選擇一次添加一個設備，也可以一次添加多個設備。筆者比較推崇的是一次加一個不費事，一次添加多個文件格式易出錯。 在「Register Device」裡面中的「Name」填寫設備名字，將來連接上對應的設備後，會在Xcode裡面顯示出來這個名字的。 之後，在「UDID」裡面填寫設備的UDID，這個過程，需要通過手機或者ITunes獲取，這里筆者就通過ITunes來獲得了，因為ITunes自帶拷貝。 連接上要真機調試的設備，打開ITunes，點擊設備，點擊界面中的序列號，會切換到UDID，右鍵就有拷貝，直接拷貝過來粘貼就好了。 之後點擊界面最下方"Done"按鈕，就完成了設備的添加。 只剩下最後一步，生成調試證書。 點擊最左邊目錄欄，選擇「Provisioning Profiles」目錄下的「All」，同樣點擊右上方的「十」號進入證書添加界面。如圖。 我們選擇"iOS App Development"點擊界面最下方的「Continue」。 這一步是選擇我們創建的表示（或者簽名），選擇我們在第13步中創建的「Identifiers」，一定要選對，如果創建的標示比較多，可以根據我們創建的名字去找我們的標示，如圖。 點擊「Continue」，繼續下一步。 這一步是選擇我們授權的電腦，在下面選項裡面選擇我們第11步生成的授權證書的名字，在這筆者要多說一句，一但創建的證書比較多就不好找，可以根據創建的證書的失效日期來區分，或者刪除掉其他的（慎用）。 點擊「Continue」，繼續下一步。 這一步是選擇我們需要進行真機調試的設備，可以選擇我們第14步創建的指定設備，也可以選擇全部，看自己需要。 點擊「Continue」，進行下一步 為我們的證書選擇一個名字，一定要選擇一個好找的名字，不然後期在Xcode中會有很多證書，不好找。當然，遇到多人開發的時候，筆者往往會以a開頭，不管證書再多，始終在前面排著。 之後點擊「Generate」，來生成我們最後的證書。 在新的界面中點擊"Download"，下載下來的證書就是我們最終的證書，依然是需要雙擊，這次雙擊是安裝到Xcode。 好了，到這里我們的證書就申請完了。我們一共下載了2個文件，一個後綴是「.cer」的文件，一個是後綴為「.mobileprovision」的文件。 好了，現在就剩下的是什麼呢？就是進行真機調試了。 首先打開你的工程，選擇工程目錄下的「Supporting Files」目錄下的工程名字.plist文件或者「info.plist」文件（Tips：在Xcode6.0一下都是工程名.plist，Xcode6.0以上才是info.plist）。修改裡面的「Bundle identifier」標示，改為我們剛才申請的標示（第13步中）。 如果工程中有Tests測試文件夾存在，則在測試文件的info.plist做同樣修改，如圖。 之後，打開你工程根目錄，同命的藍色文件，在中間的地方先選擇"TARGET"下的工程同名文件，在最右邊的搭接面裡面選擇「Build Setting」，然後找到「Code Signing」選項，在「Provisioning Profile」裡面選擇我們第19步創建的證書，通過名字找到。之後修改「Provisioning Profile」上面的「Code Signing Identity」選擇我們通過證書找到的授權證書。四個選項全部需要修改。 做完這一步，回到我們中間比較窄的界面，選擇「PROJECT」中的工程更同名文件，進行上述操作。 最後，就剩最後一步了，確保設備已連接值電腦，並在解鎖狀態下，在Xcode運行旁邊選擇「運行設備」，如圖，找到自己的設備，選擇，運行，等待載入吧。 如果找不到設備，有「IOS Device」的話，說明設備沒連接好，或者設備還沒有在Itunes中啟用。如果沒有啟用，點擊最上方window中的Device選項，找到設備，並啟用。 到這里為止，我們的真機調試證書就說完了。