自建ca证书

1. 如何创建一个自签名的ssl证书

一、自签名SSL证书浏览器不信任、没有加密套件（这种情况下还不如HTTP来的安全）任何人都可以创建1个与您相同的证书，没有机构管制。

二、确定好需要的域名，并且登陆CA机构办理合法SSL证书：网页链接

2. certificate怎么创建

创建X509证书方法较多，在Windows 环境下大致总结了几中办法， 1) 通过CA获取证书， 2) 通过微软提供的makecert 工具得到测试证书 3) 编程的方法创建，.Net提供了 X509Certificate2 类，该类可以用于创建证书，但只能从RawData中创建，创建后无法修改除FriendlyName以外的任何属性。 我在互联网上找了很久，始终没有找到完全通过程序创建自定义的证书的方法。后来想了一个折中办法，就是用程序调用 makecert.exe 先生成一个证书，证书的一些参数如Subject，有效期，序列号等可以通过参数传入，然后把生成的证书文件读到Rawdata中，得到X509Certificate2 类型的证书对象。当然这种方法确实比较笨，必须要依赖外部进程。等后面有时间的话，我还是想按照X509 V3 标准，自己创建RawData，然后生成证书，这样应该是比较灵活的做法。不知道网友们有没有什么更好的方法来创建一个自定义的证书。 通过 makecert.exe 创建X509证书的代码如下，供大家参考 static object semObj = new object(); /// <summary> /// 自定义的证书信息 /// </summary> public class T_CertInfo { public String FriendlyName; public String Subject; public DateTime BeginDate; public DateTime EndDate; public int SerialNumber; } /// <summary> /// 生成X509证书 /// </summary> /// <param name="makecrtPath">makecert进程的目录</param> /// <param name="crtPath">证书文件临时目录</param> /// <param name="certInfo">证书信息</param> /// <returns></returns> public static X509Certificate2 CreateCertificate(String makecrtPath, String crtPath, T_CertInfo certInfo) { Debug.Assert(certInfo != null); Debug.Assert(certInfo.Subject != null); string MakeCert = makecrtPath + "makecert.exe"; string fileName = crtPath + "cer"; string userName = Guid.NewGuid().ToString(); StringBuilder arguments = new StringBuilder(); arguments.AppendFormat("-r -n \"{0}\" -ss my -sr currentuser -sky exchange ", certInfo.Subject); if (certInfo.SerialNumber > 0) { arguments.AppendFormat("-# {0} ", certInfo.SerialNumber); } arguments.AppendFormat("-b {0} ", certInfo.BeginDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("-e {0} ", certInfo.EndDate.ToString(@"MM\/dd\/yyyy")); arguments.AppendFormat("\"{0}\"", fileName);

3. 如何生成CA证书

1. 创建根证书密钥文件(自己做CA)root.key：

2. 创建根证书的申请文件root.csr：

3. 创建一个自当前日期起为期十年的根证书root.crt：

4. 创建服务器证书密钥server.key：

5. 创建服务器证书的申请文件server.csr

6. 创建自当前日期起有效期为期两年的服务器证书server.crt

7. 创建客户端证书密钥文件client.key

8. 创建客户端证书的申请文件client.csr

9. 创建一个自当前日期起有效期为两年的客户端证书client.crt

10. 将客户端证书文件client.crt和客户端证书密钥文件client.key合并成客户端证书安装包client.pfx

11. 保存生成的文件备用，其中server.crt和server.key是配置单向SSL时需要使用的证书文件，client.crt是配置双向SSL时需要使用的证书文件，client.pfx是配置双向SSL时需要客户端安装的证书文件 .crt文件和.key可以合到一个文件里面，把2个文件合成了一个.pem文件（直接拷贝过去就行了）

4. 如何创建一个自签名的SSL证书

自签名SSL证书只适合内部使用或测试需要，网站使用自签名SSL证书存在极大的风险：

一：自签SSL证书最容易被假冒和伪造，被欺诈网站利用
自签SSL证书是可以随意签发的，不受任何监管，您可以自己签发，别人也可以自己签发。如果您的网站使用自签SSL证书，那黑客也可以伪造一张一模一样的自签证书，用在钓鱼网站上，伪造出有一样证书的假冒网银网站！

二：部署自签SSL证书的网站，浏览器会持续弹出警告
自签SSL证书是不受浏览器信任的，用户访问部署了自签SSL证书的网站时，浏览器会持续弹出安全警告，极大影响用户体验。

三：自签SSL证书最容易受到SSL中间人攻击
用户访问部署了自签SSL证书的网站，遇到浏览器警告提示时，网站通常会告知用户点击“继续浏览”，用户逐渐养成了忽略浏览器警告提示的习惯，这就给了中间人攻击可乘之机，使网站更容易受到中间人攻击。

典型的SSL中间人攻击就是中间人与用户或服务器在同一个局域网，中间人可以截获用户的数据包，包括SSL数据包，并做一个假的服务器SSL证书与用户通信，从而截获用户输入的机密信息。当网站被假的SSL证书替换时，浏览器会警告用户此证书不受信任，需要用户确认是否信任此证书，用户习惯性点击“继续浏览”，中间人攻击轻而易举的实现了。

四：自签SSL证书没有可访问的吊销列表
这也是所有自签SSL证书普遍存在的问题，做一个SSL证书并不难，使用OpenSSL几分钟就搞定，但真正让一个SSL证书发挥作用就不是那么轻松的事情了。要保证SSL证书正常工作，其中一个必备功能是要让浏览器能实时查验证书状态是否已过期、已吊销等，证书中必须带有浏览器可访问的证书吊销列表。如果浏览器无法实时查验证书吊销状态，一旦证书丢失或被盗而无法吊销，就极有可能被用于非法用途而让用户蒙受损失。此外，浏览器还会发出“吊销列表不可用，是否继续？”的安全警告，大大延长浏览器的处理时间，影响网页的流量速度。

5. 我用linux的openssl自建CA并签发证书，自建的CA在windows下显示不能颁发证书！！如图:

证书导入必须出现导入证书机构代码、才能正常使用

6. 换成https是申请证书还是自建证书

从安全性和通用性考虑，建议向CA机构申请证书，自建证书，首先一个就是浏览回器不信任答，如果是用于对外访问的站点，那么无疑是自己断自己财路。自建证书，浏览器会阻止用户访问你的网站。
现在https证书也很便宜，基础级DV 证书才400多一年，推荐参考：http://www.wosign.com/price.htm

7. 自建https 此网站的安全证书有问题 怎么解决

自建HTTPS证书，也称自签证书，类似于12306使用的证书，这种自签证书是不被浏览器和操作系统信任的，访问时会提示此网站的安全证书有问题，你需要在客户端安装根证书才可以解决提示。还有另外一种方法就是到合法的CA机构申请合法可信的HTTPS证书，浏览器信任，更加安全可信。参考解决办法：https://www.wosign.com/faq/faq2016-0307-01.htm

8. 自签名证书和私有CA签名的证书的区别 创建

自签名证书是由创建它的人签署的证书，而不是由受信任的证书机构签发专的证书。自签名证书普遍存属在严重的安全漏洞，极易受到攻击，而且通常不受浏览器信任。因此，不建议大家使用自签名证书，以免造成巨大的安全隐患和安全风险，特别是重要的网银系统、网上证券系统和电子商务系统。
使用自签名证书两个主要的弊端：
1）访问者的连接可能会被劫持，从而攻击者便能查看所有发送的数据（因此违背了加密连接的目的）
2）证书不能向受信任的证书那样进行撤销。

9. ios上架支持自己创建的ca证书吗

首先打开苹果的开发者网站（Tips：这里我就不贴网址了） 点击网站上方的Member Center，会跳转到登录界面（Tips:如果登录过，并选择了浏览器保存此密码的时候，默认是登录状态）。 2 如图所示输入你的开发者账号和密码。 输入完成后点击"Login"（Tips:左边是注册，下边是找回密码，右边是登录，如果没有开发者账号，则需要用苹果账号申请开发者，这里不多说申请过程以及找回过程）。 3 登录后的界面如图所示，如果没有最上面的两个选项（Dev Centers、Certificates,Identifiers&Profiles），说明你当前登录的账号还不是开发者，需要一个开发者账号登录才会有。 如果界面和我一样，恭喜你可以进行真机调试，以及发布等证书操作。 4 首先点击“Certificates,Identifiers&Profiles”，进入证书界面 我们会看到左边“iOS Apps”下面有四个选项：“Certificates”、“Identifiers”、“Devices”、“Provisioning Profiles”（Tips：如果没有该选项或者为空，则说明该开发者账号不是针对于iOS手机app开发的，如，当前演示的开发者账号，是用来做iOS开发的，故此中间的Mac Apps为空，该模块是在开发者账号申请的时候选择的，这里不过多赘述） 5 这里我会以“iOS Apps”给大家演示 首先点击“iOS Apps”下的第一个“Certificates”，该选项作用按我的理解就是授权一台电脑允许进行真机调试（这只是为了大家好理解，不必太较真）。 进入界面后，左边一列就是我们刚才在上一页看到的四个选项的具体目录，右边就是对应目录“Certificates”下的“All”里面的具体内容，当前目录就是授权证书，我们看右边有一列名字叫做Type，Type标示证书的种类，例如当前大家看到的“iOS Distribution”发布授权证书、“iOS Development”调试授权证书、“APNs Development iOS”推送调试授权证书等。 点击对应证书会出现证书详情，有移除和下载选项，这里我们点击右上方的“十”号进行授权证书创建。 6 之后我们会看到如图界面，此处我们选择“Development”下的“iOS App Development”，进行真机调试电脑授权申请。然后界面往下拉，点击界面最下方的“Continue”进行创建。 7 这一步，我们继续点击“Continue”。这一步是说，需要电脑的钥匙串配置文件，稍后我会给大家说，所以我们先点击“continue”，进入下一步。 8 这一步，需要我们上传钥匙串的配置文件。 好，我们现在打开我们的Launchpad，找到“钥匙串访问”，打开之后，不用等界面出来，直接在上方导航条中选择“钥匙串访问”目录下的“证书助理”，选择“从证书颁发机构请求证书”。如图： 9 如果想通过邮件接收证书，则需要填写邮箱，两个邮箱填写一样就行，之后在“请求是：”里面选择用“电子邮件发给CA”，即可通过电子邮件收到钥匙串配置文件。 在这里笔者就用最简单粗暴的方式来获得钥匙串配置文件，直接通过“请求是：”中选择“存储到磁盘”，上面的邮箱就可以随便填写了（是必填项，但不需要通过邮箱获得，所以随便填写就好）。 点击继续，我们为我们的文件选一个位置，这里我就选择桌面了，当然一定要选择自己能找到的位置。 10 我们在桌面上找到我们的钥匙串授权文件，如图所示。（Tips：生成的钥匙串配置文件是我们的当前电脑的，也就是对当前电脑授权真机开发，如果需要授权其他电脑，则需要其他电脑上对应的钥匙串配置文件） 之后我们回到浏览器，我们刚才需要上传的地方，点击“choose file”，找到为我们刚才放置钥匙串配置文件的地方。选中后，点击“打开”，点击“Generate”生成我们的授权证书。 11 生成之后，我们会跳转到Download界面，点击界面中的“Download”下载下来，下载位置一定要自己找得到。 双击我们生成的.cer文件，一定要双击，双击后它会默认安装到钥匙串中，不然使用的时候会出现问题。 截止到目前为止，我们已经完成了对当前电脑授权，允许当前电脑进行真机开发（Tips:即钥匙串已经安装了授权证书，如果是用的其他电脑的钥匙串配置文件，则需要吧下载下来的cer文件，给对应电脑，并在对应电脑上双击）。 12 我们已经完成第一步了，之后点击左边目录中的“Identifiers”下的“App IDs”，这里是为我们的工程创建一个标示，也就是俗称签名，只有满足标示的工程才能进行真机调试。 同样点击右上方的“十”号按钮，进行创建标示。如图。 这里，需要我们创建标示了，在“name”的地方填写标示的名字，方便最后一步生成证书的时候，容易找到我们创建的标示。 接下来在 “App ID Suffix” 中的 “Explicit App ID” 的 “Bundle ID:” 里面填写我们的标示（也就是签名），格式下方给出的有例子。按照格式来些就好。笔者的习惯就是喜欢把公司网址反写最后加上项目名字，例如：com..ZYBaiExpPro。 当然，我们不必要为每一个工程都生成一个签名标示，苹果给我们提供了一种广域标示的方法。 还是同样的界面，我们选择“App ID Suffix” 中的 “Wildcard App ID”里面的“Bundle ID:” 填写我们的签名，注意格式下方给出的有例子。这里笔者也是按照这样的格式来写的，依然是“ com..* ”，用的时候把“ * ”替换成各种你需要的字符就行。也就是一个广域标示可以对应多个工程。如图。 之后我们点击最下方的“continue”，进行下一步。 核对一下信息后，然后直接点击最下方的“Submit”，发布我们创建的标示。 到这一步我们的标示已经创建完成了。 我们授权完电脑设定完签名之后，需要添加设备了，也就是允许进行真机调试的设备，例如（iPhone、ipad等）。 点击左边目录中的“Devices”，同样点击右上方的“十”号，进行添加。 我们可以选择一次添加一个设备，也可以一次添加多个设备。笔者比较推崇的是一次加一个不费事，一次添加多个文件格式易出错。 在“Register Device”里面中的“Name”填写设备名字，将来连接上对应的设备后，会在Xcode里面显示出来这个名字的。 之后，在“UDID”里面填写设备的UDID，这个过程，需要通过手机或者ITunes获取，这里笔者就通过ITunes来获得了，因为ITunes自带拷贝。 连接上要真机调试的设备，打开ITunes，点击设备，点击界面中的序列号，会切换到UDID，右键就有拷贝，直接拷贝过来粘贴就好了。 之后点击界面最下方"Done"按钮，就完成了设备的添加。 只剩下最后一步，生成调试证书。 点击最左边目录栏，选择“Provisioning Profiles”目录下的“All”，同样点击右上方的“十”号进入证书添加界面。如图。 我们选择"iOS App Development"点击界面最下方的“Continue”。 这一步是选择我们创建的表示（或者签名），选择我们在第13步中创建的“Identifiers”，一定要选对，如果创建的标示比较多，可以根据我们创建的名字去找我们的标示，如图。 点击“Continue”，继续下一步。 这一步是选择我们授权的电脑，在下面选项里面选择我们第11步生成的授权证书的名字，在这笔者要多说一句，一但创建的证书比较多就不好找，可以根据创建的证书的失效日期来区分，或者删除掉其他的（慎用）。 点击“Continue”，继续下一步。 这一步是选择我们需要进行真机调试的设备，可以选择我们第14步创建的指定设备，也可以选择全部，看自己需要。 点击“Continue”，进行下一步 为我们的证书选择一个名字，一定要选择一个好找的名字，不然后期在Xcode中会有很多证书，不好找。当然，遇到多人开发的时候，笔者往往会以a开头，不管证书再多，始终在前面排着。 之后点击“Generate”，来生成我们最后的证书。 在新的界面中点击"Download"，下载下来的证书就是我们最终的证书，依然是需要双击，这次双击是安装到Xcode。 好了，到这里我们的证书就申请完了。我们一共下载了2个文件，一个后缀是“.cer”的文件，一个是后缀为“.mobileprovision”的文件。 好了，现在就剩下的是什么呢？就是进行真机调试了。 首先打开你的工程，选择工程目录下的“Supporting Files”目录下的工程名字.plist文件或者“info.plist”文件（Tips：在Xcode6.0一下都是工程名.plist，Xcode6.0以上才是info.plist）。修改里面的“Bundle identifier”标示，改为我们刚才申请的标示（第13步中）。 如果工程中有Tests测试文件夹存在，则在测试文件的info.plist做同样修改，如图。 之后，打开你工程根目录，同命的蓝色文件，在中间的地方先选择"TARGET"下的工程同名文件，在最右边的搭接面里面选择“Build Setting”，然后找到“Code Signing”选项，在“Provisioning Profile”里面选择我们第19步创建的证书，通过名字找到。之后修改“Provisioning Profile”上面的“Code Signing Identity”选择我们通过证书找到的授权证书。四个选项全部需要修改。 做完这一步，回到我们中间比较窄的界面，选择“PROJECT”中的工程更同名文件，进行上述操作。 最后，就剩最后一步了，确保设备已连接值电脑，并在解锁状态下，在Xcode运行旁边选择“运行设备”，如图，找到自己的设备，选择，运行，等待加载吧。 如果找不到设备，有“IOS Device”的话，说明设备没连接好，或者设备还没有在Itunes中启用。如果没有启用，点击最上方window中的Device选项，找到设备，并启用。 到这里为止，我们的真机调试证书就说完了。