第1部分第1部分（共4部分）：创建ca证书

1. 1通过发出以下命令生成CA的私钥。openssl genrsa-des3-out服务器。CA.key 2048选项explainedopenssl——软件的名称RSA——创建一个新的私钥——des3——使用DES加密服务器加密密钥。CA.key-新密钥2048的名称-私钥的长度（以位为单位）（请参阅警告）将此证书和密码存储在安全的地方。

2. 2创建证书签名请求。openssl req-verbose-new-key服务器。CA.key-out服务器。CA.csr-sha256选项说明：req-创建签名请求详细信息-显示正在创建的请求的详细信息（可选）-新建-创建新的请求密钥服务器。CA.key——您刚才在上面创建的私钥-出服务器。CA.csr——您正在创建的签名请求的文件名SHA256——用于签名请求的加密算法（如果您不知道这是什么，请不要更改。只有在您知道自己在做什么的情况下，才应该更改此密码）

3. 3.尽可能多地填写信息。国家名称（2字母代码）[AU]：美国州或省名称（全名）[某些州]：地方名称（例如，城市）[]：Silicon Valley组织名称（例如，公司）[Internet Widgets Pty Ltd]：wikiHow，Inc.组织单位名称（例如，部门）[]：通用名称（例如，服务器FQDN或您的名称）[]：wikiHow的CA证书。comEmail地址[]：[email protected]

4. 4自行签署证书：openssl ca-extensions v3_ca-out服务器。CA签了名。crt-密钥文件服务器。CA.key-verbose-selfsign-md sha256-enddate 33063023595z-infiles服务器。CA.csr选项说明：CA-加载证书颁发机构模块扩展v3_CA-加载v3_CA扩展，这是现代浏览器服务器上使用的必备工具。CA签了名。crt-新签名密钥密钥文件服务器的名称。CA.key——您在步骤1-verbose中创建的私钥——在创建请求时向您显示请求的详细信息（可选）——selfsign——告诉openssl您正在使用相同的密钥对请求进行签名md sha256——用于消息的加密算法。（如果您不知道这是什么，请不要更改它。只有在您知道自己在做什么的情况下，才应该更改它）-enddate 33063023599Z-证书的结束日期。符号是YYMMDDHHMMSZ，其中Z是GMT，有时被称为“祖鲁”时间-填充服务器。CA.csr——您在上述步骤中创建的签名请求文件。

5. 5.检查您的CA证书。openssl x509-noout-text-in服务器。CA.crt选项说明：x509-加载x509模块以检查签名证书-noout-不输出编码文本-在服务器的屏幕上输出信息。CA.crt-将签名证书加载到服务器。CA.crt文件可以分发给任何将使用您的网站或使用您计划签名的证书的人。

第2部分第2部分（共4部分）：为服务（如apache）创建ssl证书

1. 1创建私钥。openssl genrsa-des3-out服务器。阿帕奇。密钥2048选项说明：openssl——软件GenRSA的名称——创建一个新的私钥——des3——使用DES加密服务器加密密钥。阿帕奇。密钥-新密钥2048的名称-私钥的长度（以位为单位）（请参阅警告）将此证书和密码存储在安全的地方。

2. 2创建证书签名请求。openssl req-verbose-new-key服务器。阿帕奇。密钥输出服务器。阿帕奇。csr-SHA256选项说明：req-创建签名请求详细信息-显示正在创建的请求的详细信息（可选）-新建-创建新的请求密钥服务器。阿帕奇。密钥-您刚才在上面创建的私钥-出服务器。阿帕奇。csr——您正在创建的签名请求的文件名SHA256——用于签名请求的加密算法（如果您不知道这是什么，请不要更改。只有在您知道自己在做什么的情况下，才应该更改此密码）

3. 3使用CA证书签署新密钥。openssl ca-out服务器。阿帕奇。pem-密钥文件服务器。CA.key-填充服务器。阿帕奇。CSR选项说明：ca-将证书颁发机构模块从服务器中加载。阿帕奇。pem—签名证书密钥文件服务器的文件名。CA.key—将对请求服务器进行签名的CA证书的文件名。阿帕奇。csr—证书签名请求的文件名

4. 4尽可能多地填写信息：国家名称（2字母代码）[AU]：美国州或省名称（全名）[某些州]：地方名称（例如，城市）[]：硅谷组织名称（例如，公司）[互联网Widgits私人有限公司]：wikiHow，Inc.组织单位名称（例如，部门）[]：通用名称（例如，服务器FQDN或您的名称）[]：wikiHow的Apache SSL证书。comEmail地址[]：[email protected]

5. 5将私钥副本保存到其他位置。创建一个没有密码的私钥，以防止Apache提示您输入密码：openssl rsa-in服务器。阿帕奇。密钥输出服务器。阿帕奇。无担保。密钥选项说明：rsa-在服务器中运行rsa加密程序。阿帕奇。key-要转换的密钥名称-出服务器。阿帕奇。无担保。密钥-新的不安全密钥的文件名

6. 6使用生成的服务器。阿帕奇。pem文件以及您在步骤1中生成的用于配置apache2的私钥。conf文件。

第3部分第3部分（共4部分）：创建用于身份验证的用户证书

1. 1遵循_为Apache创建SSL证书_中的所有步骤。

2. 2将签名证书转换为PKCS12。openssl pkcs12-export-in user_cert.pem-inkey user_private_key。pem-out用户证书p12

第4部分第4部分，共4部分：创建s/mime电子邮件证书

1. 1创建私钥。openssl genrsa-des3-out私人电子邮件。钥匙2048

2. 2创建证书签名请求。openssl req-新-密钥专用_电子邮件。密钥输出私人电子邮件。企业社会责任

3. 3使用CA证书签署新密钥。openssl ca-out私人电子邮件。pem-密钥文件服务器。CA.key-填充私人电子邮件。企业社会责任

4. 4将证书转换为PKCS12。openssl pkcs12-导出-在私人电子邮件中。crt-inkey私人电子邮件。密钥输出私人电子邮件。p12

5. 5创建公钥证书以进行分发。openssl pkcs12-export-out public_cert.p12-in private_email。pem-clcerts-nokeys-name“维基解密的公钥”

• 您可以通过发出以下命令来改变PEM密钥的内容：openssl x509-noout-text-in certificate。佩姆