之前說過生成公私鑰.pem文件，實際上，我們在工作中一般不會用到.pem文件，我們完全可以在鑰匙串中證書助理直接從證書頒發機構中申請證書，當然本地也可以。

• 終端生成證書
  首先生成.csr請求證書文件，之后用這個.csr文件去證書頒發機構請求證書。

// 通過private.pem，new一個rsacert.csr文件 $ openssl req -new -key private.pem -out rsacert.csr You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- // 輸入一些信息，地址、公司和郵箱等 Country Name (2 letter code) []:cn State or Province Name (full name) []:shanghai Locality Name (eg, city) []:shanghai Organization Name (eg, company) []:personal Organizational Unit Name (eg, section) []:personal Common Name (eg, fully qualified host name) []:personal.com Email Address []:76521244@qq.comPlease enter the following 'extra' attributes to be sent with your certificate request // 可以直接回車，不設置密碼 A challenge password []:

這樣，終端就生成好了一個.csr文件了，接下來繼續用終端申請證書

// x509標準格式，-req簽名，-days 3650 時間，也就是10年，用剛剛生成的csr文件和private.pem私鑰進行簽名，輸出rsacert.crt證書 $ openssl x509 -req -days 3650 -in rsacert.csr -signkey private.pem -out rsacert.crt Signature ok subject=/C=cn/ST=shanghai/L=shanghai/O=personal/OU=personal/CN=personal.com/emailAddress=76521244@qq.com Getting Private key

證書生成好后，顯示證書的信息，下面是生成好的兩個文件

這個證書大概一年5000大洋，剛剛的一個操作5W就出去了，哈哈哈。。。那這個證書可以用來干嘛呢

• 用途
  比如HTTPS協議，這個協議需要認證這個證書，我們把證書放在服務器，別人去接受。
  當我們查看這個證書時，會發現這個證書還是Base64編碼，所以開發的時候還是不能直接用，需要將其內容提取出來

$ openssl x509 -outform der -in rsacert.crt -out rsacert.der

通過命令，生成一個rsacert.der文件，這個文件主要包含了公鑰和一些信息，再通過這個.der文件生成可以直接用的P12文件，也就是對應這個公鑰的私鑰。

$ openssl pkcs12 -export -out p.p12 -inkey private.pem -in rsacert.crt Enter Export Password: Verifying - Enter Export Password:

用剛剛生成crt的private.pem和.crt文件提取出P12文件，提取過程中需要設置密碼，輸入兩次相同的密碼回車后，一個對應的P12文件已經生成了。

有了它倆就可以進行加密和解密了，我們iOS開發就是用的這兩個文件。當然這兩個文件不需要都拿到，只用.der就OK，這里只是為了演示。

總結

以上是生活随笔為你收集整理的本地进行证书签名的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。