客戶端ca證書

1. 什麼是CA證書

CA是負責簽發證書復、認制證證書、管理已頒發證書的機關。它要制定政策和具體步驟來驗證、識別用戶身份，並對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權。網上的公眾用戶通過驗證 CA 的簽字從而信任 CA ，任何人都可以得到 CA 的證書（含公鑰），用以驗證它所簽發的證書。

2. 我可以申請一個CA證書，然後用這個證書給自己用戶發布客戶端的CA證書嗎

你沒有可以信任的根！

3. 誰知道數字證書和客戶端證書有區別嗎前者我下下來了，後者怎麼弄，我交易的時候他說需要用戶提交客戶端

數字證書安裝好以後，你必須安裝客服端，然後數字證書才能用 2個是不一樣的，相輔相成的，還有客服端證書安裝完成後必須重啟才可以

4. 客戶端數字證書存放在什麼地方

數字證書是.cer或者.p7b為後綴的文件。如果你需要安裝數字證書，只需要雙擊它，系統就會提示你是否要將證書導入。

你可以通過IE的internet選項-內容-證書來查看。

5. ca證書和伺服器證書區別

一般的CA證書，可以直接在WINDOWS上生成。通過點對點原理，實現數據的傳輸加密和身份核內實功能。CA伺服器證書，是容必須安裝在伺服器中，由伺服器的軟硬體信息生成的CSR文件，通過在微軟和全球webTrust證書聯盟的備份和核實後，生成的CA證書。網站能在IE瀏覽器上直接顯示「安全鎖」，和顯示證書信息。高級的版本能在瀏覽器地址欄變綠色，是目前全球最有效果的身份核實、信息加密工具。 CA證書的生成簡單免費，而CA伺服器證書成本較高，一般在5000-20000元/年，所以需要此服務的企業或機構以金融類行業為首。如果企業需要CA伺服器證書來杜絕釣魚網站的侵害，可以選擇安信保認證標識，它集成了伺服器證書服務。是目前看到最便宜的了，比較適合企業使用。

6. 客戶端證書是什麼意思

客戶端證書意思是SSL證書，SSL 證書就是遵守 SSL協議，由受信任的數字證書頒發機構CA，在驗證服專務器身份後頒發，具有服屬務器身份驗證和數據傳輸加密功能。

SSL證書通過在客戶端瀏覽器和Web伺服器之間建立一條SSL安全通道（Secure socket layer(SSL)安全協議是由Netscape Communication公司設計開發。

(6)客戶端ca證書擴展閱讀

SSL安全證書主要用於發送安全電子郵件、訪問安全站點、網上招標與投標、網上簽約、網上訂購、安全網上公文傳送、網上辦公、網上繳費、網上繳稅以及網上購物等安全的網上電子交易活動。

在網上進行電子商務交易時，交易雙方需要使用數字簽名來表明自己的身份，並使用數字簽名來進行有關的交易操作。隨著電子商務的盛行，數位簽章的頒發機構 CA中心將為電子商務的發展提供可靠的安全保障。

7. 如何生成CA證書

如何生成CA證書

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。

需要手工生成證書的情況有：

找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。

1. 創建根證書密鑰文件(自己做CA)root.key：

openssl genrsa -des3 -out root.key

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼

2. 創建根證書的申請文件root.csr：

openssl req -new -key root.key -out root.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

3. 創建一個自當前日期起為期十年的根證書root.crt：

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

4. 創建伺服器證書密鑰server.key：

openssl genrsa –des3 -out server.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)

運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

5.創建伺服器證書的申請文件server.csr：

openssl req -new -key server.key -out server.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []:www.mycompany.com ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

7. 創建客戶端證書密鑰文件client.key：

openssl genrsa -des3 -out client.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼

8. 創建客戶端證書的申請文件client.csr：

openssl req -new -key client.key -out client.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

輸出內容為：

[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件

.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

參考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509證書一般會用到三類文，key，csr，crt。

Key是私用密鑰openssl格，通常是rsa演算法。

Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。

crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:

opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法

CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。

最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt

證書合並：

catserver.key server.crt > server.pem

8. 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

9. 伺服器證書和ca證書區別

伺服器證書是用來保護數據加密傳輸的證書，CA證書
是證書鏈證書，為了方便客戶端驗證伺服器證書的有效性和給伺服器證書提供兼容性的證書

10. WEB伺服器與CA證書伺服器不在同一台機上，WEB客戶端訪問需要證書驗證，客戶端怎麼申請證書

web伺服器端用HTTPS的話就必須向客戶端提供一個能證明他有效身份的伺服器證書，而客戶端不一定非得提供證書。

當然像你所說的情況也就是：伺服器要求客戶端提供證書進行客戶端身份驗證，那麼你就必須去向CA申請了，該只要能證明你的合法身份就行。
ps。如果你是自己搭著玩的話，那麼你就可以用自己的CA分別頒發伺服器證書和客戶端證書，然後分別安裝在對應的系統上。
另外我懷疑，你的問題是否提錯了？
情況是否是客戶端無法驗證伺服器端的合法身份，而導致瀏覽器禁止打開該伺服器連接？
如果是這種情況的話，那麼你就只需要在瀏覽器訪問該伺服器時，點擊地址欄邊上的安全標志就能安裝伺服器證書的上級CA的公鑰證書在自己的電腦上，這樣你的電腦就能識別該伺服器的合法身份了。

文筆較差，見諒