創(chuàng)建自己的證書頒發(fā)機構(gòu)(CA)

openssl req -x509 -nodes-sha256-days 365 -newkey rsa:2048 -keyout myCA.key -out myCA.crt

然后, 基于這個證書生成一個證書請求(CSR), (同樣, 先生成一個key, 要用key來請求)

openssl genrsa -out server.key 2048

openssl req -new -out server.req -key server.key -subj /CN=域名

openssl x509 -req -in server.req -out server.cer -CA key myCA.key -CA myCA.cer -days 365 -CAcreateserial -CA serialserial

我們的使用場景是IIS伺服了一個靜態(tài)文件服務(wù)器(沒錯, 是用來放iOS企業(yè)部署的的plist和ipa文件的), 做到如下幾步

轉(zhuǎn)化證書格式

IIS導(dǎo)入證書需要轉(zhuǎn)化為pkcs12格式(X509格式?), 中間會詢問一次密碼, 牢記, 或者與導(dǎo)出的文件一起保存

openssl pkcs12-export-clcerts-inserver.cer-inkey server.key-outiis.pfx

現(xiàn)在總結(jié)一下, 目前為止, 除去key和csr, 生成了myCA.cer,server.cer和iis.pfx三個文件

將myCA.cer添加為”受信任的根證書頒發(fā)機構(gòu)”

打開IE > 工具 > Internet選項 > 內(nèi)容 > 證書 > 受信任的根證書頒發(fā)機構(gòu) > 導(dǎo)入 > 選擇iis.pfx > 輸入密碼 > 導(dǎo)入

添加服務(wù)器證書

這需要兩個步驟

首先, 在IIS管理器(inetmgr)的根目錄上(就是機器名), 選擇”服務(wù)器證書”, 導(dǎo)入我們剛才用server.cer生成的iis.pfx, 即給IIS添加了一個證書(如果有多個, 重復(fù)以上步驟)

然后, 找到網(wǎng)站節(jié)點, 右鍵, “編輯綁定”, 添加一個供https訪問的端口(默認是443), 此時會要求你選擇一個證書, 把剛才通過管理器添加的證書名選出來, 即可.

最后, 把server.cer通用你們企業(yè)自己的方式頒發(fā)給需要使用的客戶端(郵件, 鏈接等, 均可), 如果是iPhone, 點擊了server.cer文件后, 會導(dǎo)航到設(shè)置里面安裝, 安裝并信任后, 在設(shè)置 > 通用 > Profiles里面可以看到你信任的證書使用openssl創(chuàng)建自簽名證書及部署到IIS教程

這需要兩個步驟

首先, 在IIS管理器(inetmgr)的根目錄上(就是機器名), 選擇”服務(wù)器證書”, 導(dǎo)入我們剛才用server.cer生成的iis.pfx, 即給IIS添加了一個證書(如果有多個, 重復(fù)以上步驟)

然后, 找到網(wǎng)站節(jié)點, 右鍵, “編輯綁定”, 添加一個供https訪問的端口(默認是443), 此時會要求你選擇一個證書, 把剛才通過管理器添加的證書名選出來, 即可.

最后, 把server.cer通用你們企業(yè)自己的方式頒發(fā)給需要使用的客戶端(郵件, 鏈接等, 均可), 如果是iPhone, 點擊了server.cer文件后, 會導(dǎo)航到設(shè)置里面安裝, 安裝并信任后, 在設(shè)置 > 通用 > Profiles里面可以看到你信任的證書使用openssl創(chuàng)建自簽名證書及部署到IIS教程