OV SSL证书

1、生成加密自签名（SSL）证书

使用命令：

opensslreq-new-x509-newkeyrsa:2048-keyout/data/server.key-out/data/server.crt

注:执行命令后，需要输入密码，然后依次输入国家、地区、城市、组织、组织单位、Commonname和Email。其中，Commonname，可以写自己的名字或域名，如果要支持https，Commonname应该与域名保持一致，否则会引起浏览器警告。

2、生成不加密的签名（SSL）证书

1)生成私钥

使用openssl工具生成RSA私钥

opensslgenrsa-des3-out/data/server.key2048

注：生成rsa私钥，des3算法，2048位强度，server.key是一个密钥文件名，生成一个私钥，要求您输入这个key文件的密码至少提供四个密码，因为您必须在生成时输入密码。您可以在输入后删除它（因为它将来会被nginx使用。每次reloadnginx配置，您都需要验证此PAM密码）。

2)删除密码

mv/data/server.key/data/server.key.org（或cp/data/server.key/data/server.key.org）

opensslrsa-in/data/server.key.org-out/data/server.key

3)生成CSR(证书签名请求)

生成私钥后，根据这个key文件生成证书请求csr文件

使用OpenSSL实现自签名，具体操作如下：

opensslreq-new-key/data/server.key-out/data/server.csr

注:执行命令后，需要输入密码，然后依次输入国家、地区、城市、组织、组织单位、Commonname和Email。其中，Commonname，可以写自己的名字或域名，如果要支持https，Commonname应该与域名保持一致，否则会引起浏览器警告。

4)生成自签名crt证书

最后，根据key和csr生成crt证书文件

openslx509-req-days3650-in/data/server.csr-signkey/data/server.key-out/data/server.crt

一、制作CSR文件

CSR是CertificateSecurequest证书请求文件。该文件由申请人制作，系统在制作时会产生两个密钥，一个是公钥，另一个是存储在服务器上的私钥。要制作CSR文件，申请人可以参考WEBSERVER文件，一般APACHE等，使用OPENSL命令行生成KEY+CSR2文件，Tomcat，JBoss，Resin等使用KEYTOOL生成JKS和CSR文件，IIS通过向导建立一个挂起请求和一个CSR文件。此外，还可以通过本站提供的CSR在线生成工具在线生成，或者联系本站工作人员协助生成。

二、CA认证

通常有两种认证方法可以将CSR提交给我们的员工:

1、域名认证，一般通过管理员邮箱认证，这种认证速度快，但签发的证书中没有企业名称；

2、企业文档认证，需要提供企业营业执照。一般需要3-5个工作日。还有两种证书需要同时认证，称为EV证书，可以使IE7以上的浏览器地址栏变绿，所以认证也是最严格的。

三、证书的安装

收到我们发给你的CA证书后，可以在服务器上部署证书。一般APACHE文件直接将KEY+CER复制到文件中，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的CER文件导入JKS文件，复制服务器，然后修改SERVER.XML;IIS需要处理挂起请求，导入CER文件。

CA数字证书一般又称为CA证书，它是由CA机构签发的证书。而SSL证书是数字证书，因为配置在Web服务器上，所以也称为SSL服务器证书。SSL证书和CA证书是从属关系，SSL证书只是众多CA证书中的一种。

CA机构是采用公开密钥基础技术，专门提供网络身份认证服务、负责签发和管理数字证书，且具有权威性和公正性的第三方信任机构。SSL证书也是由CA机构签发的，不过CA机构签发的证书有很多种，都叫CA证书，所以SSL证书只是其中一种。

CA中心是颁发SSL证书的机构，您可以通过已购买的SSL证书实例向CA中心提交证书申请。只有当CA中心审核通过您的证书申请后，才会为您签发SSL证书，然后将已签发的SSL证书安装到您的Web服务器，使网站可以实现https加密访问。

SSL证书只有正确安装到Web服务器，才能实现客户端与服务器间的https通信。由于涉及到不同类型Web服务器的配置，您需要在证书签发后，根据实际服务器环境来安装证书。部分知名的SSL证书服务商也会提供免费安装证书服务。例如您选购的是DigiCertSSL证书、SymantecSSL证书、GeoTrustSSL证书等，则可获得免费安装证书服务，不需要自己手动安装。

SSL证书的主要作用是服务器身份认证和数据加密传输，有效地防止了隐私信息被窃取或篡改，防止钓鱼网站假冒、流量被劫持等情况发生。网站部署有效的SSL证书后，在外观上也会发生变化，比如网站网址前缀会变成https，同时浏览器地址栏还会显示绿色安全锁。如果部署的是安全等级高的企业型OV或EVSSL证书，访客还可查看到公司名称，有利于提升品牌形象。