准备工作：

0.安装完整版的openssl

openssl下载官网

安装到C:\OpenSSL32，也可以安装到其它盘，不要包含空格和中文

打开openssl.exe所在目录如:C:\OpenSSL32\bin，输入cmd.exe打开cmd控制台

1.创建ca文件夹 ,证书文件夹
 

mkdir ca
mkdir certs

2.创建私钥 (建议设置密码)

openssl genrsa -des3 -out ca/myCA.key 2048

3.生成CA证书,20 年有效期

注意common name不要随意输入，可以输入为 my root ca

openssl req -x509 -new -nodes -key ca/myCA.key -sha256 -days 7300 -out ca/myCA.crt

4.创建服务器私钥

openssl genrsa -out certs/server.key 2048

5.创建ssl证书CSR

openssl req -new -key certs/server.key -out certs/server.csr

6.创建域名附加配置文件certs/cert.txt

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names[alt_names]
DNS.1 = server
IP.2 = 127.0.0.1
DNS.3 = test.com
DNS.4 = *.test.com

7.使用CA签署ssl证书

注意common name不要随意输入，可以输入为 my sercer ca

# ssl证书有效期10年
openssl x509 -req -in certs/server.csr -out certs/server.crt -days 3650  -CAcreateserial -CA ca/myCA.crt -CAkey ca/myCA.key -CAserial serial -extfile certs/cert.ext

8.如果你使用IIS作为网页服务器，那么需要生成server.pfx文件

openssl pkcs12 -export -in certs/server.crt -inkey certs/server.key -out certs/server.pfx

9.部署iis服务器

生成完成后使用server.pfx文件作为iis服务器证书即可

10.在手机或电脑端安装ca证书

所有需要访问的电脑需要将myCA.crt文件安装到-->受信任的根证书颁发机构，必须安装到此目录

11.在浏览器输入https://ip   即可正常访问，如图

11.验证证书是否ok

openssl verify -CAfile ca/myCA.crt certs/server.crt

参考链接:

file-make_cert.md

openssl自签一个给网站用的证书

证书层次如下：