windows使用openssl生成IIS自签证书全流程

使用 OpenSSL 生成适用于 IIS 的证书，通常需要经过以下步骤：生成私钥、生成证书签名请求（CSR）、生成自签名证书或通过 CA 签名，最后将证书转换为 IIS 所需的 PFX 格式。以下是详细步骤：

1. 安装 OpenSSL

• 下载：可以从 Win32 OpenSSL 网站下载适合 Windows 的 OpenSSL 安装包。
• 安装：选择默认路径（如 C:\OpenSSL-Win64），完成安装。

2. 生成私钥

在 OpenSSL 安装目录的 bin 文件夹下运行 openssl.exe，输入以下命令生成私钥：

openssl genrsa -des3 -out server.key 2048

• -des3 表示对私钥进行加密，需要输入一个密码。
• 2048 表示密钥长度为 2048 位。

3. 生成证书签名请求（CSR）

输入以下命令生成 CSR 文件：

openssl req -new -key server.key -out server.csr -config openssl.cnf

• 根据提示输入相关信息，如国家、地区、组织名称、域名等。
• 这些信息将嵌入到证书中。

4. 生成自签名证书

输入以下命令生成自签名证书：

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

• -days 365 表示证书有效期为 365 天。
• server.crt 是生成的证书文件。

5. 将证书转换为 PFX 格式

IIS 需要 PFX 格式的证书，可以通过以下命令转换：

openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

• 输入 PFX 密码，用于保护 PFX 文件。

6. 导入证书到 IIS

1. 打开 IIS 管理器，选择服务器名称，双击“服务器证书”。
2. 在右侧“操作”栏中点击“导入”，选择生成的 server.pfx 文件，并输入 PFX 密码。
3. 选择要绑定证书的网站，右键点击选择“编辑绑定”。
4. 在“网站绑定”窗口中，点击“添加”，选择类型为 https，端口为 443，并指定刚才导入的证书。
5. 点击“确定”完成绑定。

注意事项

• 私钥保护：私钥文件（如 server.key）非常重要，应妥善保管，避免泄露。
• 证书有效期：自签名证书的有效期可以根据需要设置，但建议不要设置过长。
• PFX 密码：PFX 文件的密码应足够复杂，以防止未经授权的访问。

通过以上步骤，即可使用 OpenSSL 生成适用于 IIS 的 SSL 证书，并完成配置。