此文已由作者趙斌授權網易云社區發布。

歡迎訪問網易云社區，了解更多網易技術產品運營經驗。

一、前言

最近為了測試內容分發網絡（Content Delivery Network，簡稱 CDN）添加的新功能，支持HYTTPS安全加速功能，需要對證書的有效性進行驗證，于是乎需要自己生成合法的、非法的、過期的證書。接下來介紹下如何通過OpenSSL生成證書。

二、使用OpenSSL生成證書

創建證書密鑰文件

openssl genrsa -des3 -out ca.key 8192復制代碼

運行時會提示輸入密碼,此密碼用于加密key文件(參數des3便是指加密算法,當然也可以選用其他你認為安全的算法.),以后每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要采取其他的保護措施! 去除key文件口令的命令:

openssl genrsa -out ca.key 8192復制代碼

2.創建證書請求并自簽署證書 ：

openssl req -new -x509 -sha256 -days 365 -key ca.key -out ca.crt -subj "/C=CN/ST=Beijing/L=Beijing/O=Netease/OU=Netease Root CA"各選項（及參數）的意義如下： req 使用openssl的req子命令 -new 生成新的證書請求 -x509 生成自簽名證書 -days 365 自簽名證書的有效期365天（1年）【僅當使用了 -x509 選項后有效】 -key ca.key 私鑰文件名指定為ca.key【若為運行前就已有的私鑰文件且原名不是ca.key，則改名為ca.key；否則新生成的私鑰文件命名為ca.key】 -out ca.crt 指定輸出所生成自簽名證書的信息到文件，且文件名為ca.crt【建議不要省略】 -subj arg 其中，arg是選項 -subj 的參數，其格式類似于：/type0=value0/type1=value1/type2=... 形式。每一個 /type=value 形式的單元，都對應了一個完整的DN字段。復制代碼DN字段名縮寫 說明填寫要求

Country Name	C 證書持有者所在國家	要求填寫國家代碼，用2個字母表示
State or Province Name	ST 證書持有者所在州或省份	填寫全稱，可省略不填
Locality Name	L 證書持有者所在城市	可省略不填
Organization Name	O 證書持有者所屬組織或公司	可省略不填
Organizational Unit Name	OU 證書持有者所屬部門	可省略不填
Common Name	CN 證書持有者的通用名	必填
Email Address	證書持有者的通信郵箱	可省略不填

三、生成過期證書的簡便方法

1.首先將系統的時間修改超前2年;

2.執行（二）中第2步時，設置-days為證書的有效期，例如設置為365;

3.再次將系統時間恢復即可,該證書則為已過期一年。

四、查看證書

按照（二）或（三）中的方法生成的證書，點擊ca.crt,在常規中即可看到該證書都有效期是從XXX到XXX。按照（二）中的方法即生成的為合法證書；按照（三）中的方法即生成的為過期證書；非法證書的生成即隨便輸入，不是按照證書的格式，不是如下格式：-----BEGIN CERTIFICATE-----xxx-----END CERTIFICATE-----即可。

免費體驗云安全(易盾)內容安全、驗證碼等服務

11.1—11.15云計算基礎服務全場5折起

更多網易技術、產品、運營經驗分享請點擊。

相關文章：
【推薦】 為何要在網站上設置的驗證碼

總結

以上是生活随笔為你收集整理的如何利用OpenSSL生成证书的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。