自動生成證書

『壹』 ios為什麼開發者證書會自動生成

這個是xcode5或6的特性吧。不管怎麼樣，你生成證書，無非是要CSR文件，賬號、appID，bundle id。有了這些東回西，就可以自己答去dev center創建證書。而所有這些都是蘋果公司掌管的、包括mac系統、Xcode、dev center。需要的就是一個用戶的授權，你在Xcode的account上登錄了賬號，自然算是一種授權。dev center會自動給你生成缺少的東西，只是名字很難看，你完全看不出什麼意義。所以你最好都是自己去dev center自己去製作證書、app IDs、pp文件等。這樣你的app ID，bundle id、pp文件就可以有一個有意義的名稱，如Jack's app，而不是xcodexxxxxxxx001,002這樣對你沒有意義的，過後你也不知道他們屬於哪個app，有什麼含義。

『貳』 如何導出證書

一、備份數字證書
在「開始→運行」中鍵入「MMC」，打開「控制台」，點擊「文件→添加/刪除管理單元」，然後單擊「添加」，在「管理單元」欄中雙擊「證書」，彈出「證書管理單元」窗口；如果以非管理員用戶登錄，「證書」將自動載入；如果作為管理員登錄，單擊「我的用戶賬戶」，然後單擊「完成」。回到「控制台根節點」，一般個人證書會放在「個人」和「受信任人」分支下，因此要備份數字證書就需要到這些分支下查看或尋找。選中某個證書，在右側窗格的「預期目的」欄可以了解到頒發證書的目的，比如「文件加密系統」等。右擊該證書，選擇「所有任務→導出」，打開「證書導出向導」，然後按照提示操作即可。

提示：1.建議在「導出私鑰」窗口(該選項僅在私鑰標記為可導出且可以使用私鑰時才顯示，比如文件加密系統的數字證書)中選擇「不，不要導出私鑰」。否則還需要輸入保護導出私鑰的密碼，這樣，在恢復此證書時還需要提供該密碼。

2.如果只需要備份文件加密系統的數字證書，可以採取「證書目的」查看方式(選中「證書-當前用戶」，點擊「查看→選項」，在「查看模式」欄中勾選「證書目的」項即可)；然後在「控制台根節點」窗口中選擇「加密文件系統」分支，在右側窗口中找到相應的加密文件數字證書，按照上述方式直接導出即可。

3.如果只是想導出當前用戶自己的證書(而不是要作為管理員管理各類證書)，可以在IE中點擊「工具→Internet選項」，進入「內容」選項卡，點擊「證書」按鈕，在打開的「證書」窗口中選中要導出的證書，然後按照上述方法導出。一個快捷的方法是：選中要導出的證書，直接用滑鼠將它拖曳到存放證書的文件夾里。
二、恢復數字證書
1.直接恢復
打開「證書-當前用戶」分支，選中要導入證書的邏輯存儲區域(查看方式為「邏輯證書存儲」)，比如「個人」，單擊右鍵，選擇「所有任務→導入」，打開「證書導入向導」，按照提示即可完成證書導入。

如果導入的是具有保護密碼的證書，則還需要輸入相應的密碼。當然，我們也可以在IE中操作，點擊「工具→Internet選項」，進入「內容」選項卡，點擊「證書」按鈕，然後導入相應的數字證書。

2.指定恢復代理
打開「控制面板→管理工具→本地安全策略」，在「公鑰策略→正在加密的文件系統」上單擊右鍵，選擇「添加數據恢復代理」，通過「故障恢復代理向導」選擇作為代理的用戶或該用戶的具有故障恢復證書的CER文件。

當恢復加密數據時，首先以被指定的作為數據恢復代理的用戶登錄計算機，將該代理用戶的具有故障恢復功能的證書導入計算機(具體導入方法同上)，然後在需要恢復的數據(文件或文件夾)上單擊右鍵，選擇「屬性」，在「常規」選項卡中單擊「高級」，取消「加密內容以便保護數據」復選框即可將加密的數據恢復。

『叄』 如何生成證書請求或如何自動安裝用戶證書Java的

你會用XEnroll就好辦，XEnroll的CreatePKCS10方法就是用來生成證書請求的。

『肆』 如何生成CA證書

1. 創建根證書密鑰文件(自己做CA)root.key：

2. 創建根證書的申請文件root.csr：

3. 創建一個自當前日期起為期十年的根證書root.crt：

4. 創建伺服器證書密鑰server.key：

5. 創建伺服器證書的申請文件server.csr

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt

7. 創建客戶端證書密鑰文件client.key

8. 創建客戶端證書的申請文件client.csr

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件 .crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

『伍』 如何生成SSL證書和key

可以找專業的抄SSL證書服務商來生成SSL證書和key，具體步驟如下：
第一步：將CSR提交到證書服務商
CSR(Certificate Signing Request)文件必須由用戶自己生成，也可以利用在線CSR生成工具。選擇要申請的產品，提交一個新的訂單，並將製作好的CSR文件提交。
第二步 資料提交到CA
當收到您的訂單和CSR後，如果是域名驗證型證書(DV SSL證書)，在域名驗證之後10分鍾左右就可頒發證書，若是其他類型證書則是需要通過CA機構進行驗證之後才可頒發。
第三步 發送驗證郵件到管理員郵箱
權威CA機構獲得資料後，將發送一封確認信到管理員郵箱，信中將包含一個 對應的鏈接過去。每一個訂單，都有一個唯一的PIN以做驗證用。
第四步 郵件驗證
點擊確認信中的鏈接，可以訪問到CA機構驗證網站，在驗證網站，可以看到該訂單的申請資料，然後點擊」I Approve」完成郵件驗證。
第五步 頒發證書
在用戶完成郵件驗證之後，CA機構會將證書通過郵件方式發送到申請人自己的郵箱，當用戶收到證書後直接安裝就可以了。若安裝存在問題，安信證書是提供免費證書安裝服務的。

『陸』 如何批量自動列印證書

你說的這種，應該是可以把你的證書樣式做個背景圖導入軟體，然後再添加可變內容，就能自動批量生成了

『柒』 https證書生成方法，怎麼生成https證書

HTTPS認證、復HTTPS證書，可以在制淘寶裡面找到Gworg申請。

申請HTTPS證書：

1. 確定並且列出具體需要的域名。

2. 進入淘寶中找到Gworg並且選擇HTTPS證書。

3. 根據提示完成HTTPS域名認證。

4. 獲得HTTPS證書並且安裝到伺服器。

解決辦法：Gworg認證並且活動和HTTPS證書。

『捌』 如何生成CA證書

如何生成CA證書

一般情況下，如果能找到可用的證書，就可以直接使用，只不過會因證書的某些信息不正確或與部署證書的主機不匹配而導致瀏覽器提示證書無效，但這並不影響使用。

需要手工生成證書的情況有：

找不到可用的證書
需要配置雙向SSL，但缺少客戶端證書
需要對證書作特別的定製
首先，無論是在Linux下還是在Windows下的Cygwin中，進行下面的操作前都須確認已安裝OpenSSL軟體包。

1. 創建根證書密鑰文件(自己做CA)root.key：

openssl genrsa -des3 -out root.key

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out root.key
Generating RSA private key, 512 bit long molus
……………..++++++++++++
..++++++++++++
e is 65537 (0×10001)
Enter pass phrase for root.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for root.key: ← 重新輸入一遍密碼

2. 創建根證書的申請文件root.csr：

openssl req -new -key root.key -out root.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key root.key -out root.csr
Enter pass phrase for root.key: ← 輸入前面創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家代號，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省的全名，拼音
Locality Name (eg, city) []:BeiJing ← 市的全名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []: ← 此時不輸入
Email Address []:[email protected] ← 電子郵箱，可隨意填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

3. 創建一個自當前日期起為期十年的根證書root.crt：

openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.req -out root.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./[email protected]
Getting Private key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

4. 創建伺服器證書密鑰server.key：

openssl genrsa –des3 -out server.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -out server.key 2048
Generating RSA private key, 2048 bit long molus
….+++
…………………………………………..+++
e is 65537 (0×10001)

運行時會提示輸入密碼,此密碼用於加密key文件(參數des3便是指加密演算法,當然也可以選用其他你認為安全的演算法.),以後每當需讀取此文件(通過openssl提供的命令或API)都需輸入口令.如果覺得不方便,也可以去除這個口令,但一定要採取其他的保護措施!
去除key文件口令的命令:
openssl rsa -in server.key -out server.key

5.創建伺服器證書的申請文件server.csr：

openssl req -new -key server.key -out server.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key server.key -out server.req
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名，拼音
Locality Name (eg, city) []:BeiJing ← 市名，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不輸入
Common Name (eg, YOUR name) []:www.mycompany.com ← 伺服器主機名，若填寫不正確，瀏覽器會報告證書無效，但並不影響使用
Email Address []:[email protected] ← 電子郵箱，可隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不輸入
An optional company name []: ← 可以不輸入

6. 創建自當前日期起有效期為期兩年的伺服器證書server.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in server.csr -out server.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入前面創建的密碼

7. 創建客戶端證書密鑰文件client.key：

openssl genrsa -des3 -out client.key 2048

輸出內容為：

[lenin@archer ~]$ openssl genrsa -des3 -out client.key 2048
Generating RSA private key, 2048 bit long molus
……………………………………………………………………………..+++
……………………………………………………………………………………………………….+++
e is 65537 (0×10001)
Enter pass phrase for client.key: ← 輸入一個新密碼
Verifying – Enter pass phrase for client.key: ← 重新輸入一遍密碼

8. 創建客戶端證書的申請文件client.csr：

openssl req -new -key client.key -out client.csr

輸出內容為：

[lenin@archer ~]$ openssl req -new -key client.key -out client.csr
Enter pass phrase for client.key: ← 輸入上一步中創建的密碼
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter 『.』, the field will be left blank.
—–
Country Name (2 letter code) [AU]:CN ← 國家名稱，中國輸入CN
State or Province Name (full name) [Some-State]:BeiJing ← 省名稱，拼音
Locality Name (eg, city) []:BeiJing ← 市名稱，拼音
Organization Name (eg, company) [Internet Widgits Pty Ltd]:MyCompany Corp. ← 公司英文名
Organizational Unit Name (eg, section) []: ← 可以不填
Common Name (eg, YOUR name) []:Lenin ← 自己的英文名，可以隨便填
Email Address []:[email protected] ← 電子郵箱，可以隨便填

Please enter the following 『extra』 attributes
to be sent with your certificate request
A challenge password []: ← 可以不填
An optional company name []: ← 可以不填

9. 創建一個自當前日期起有效期為兩年的客戶端證書client.crt：

openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in client.csr -out client.crt

輸出內容為：

[lenin@archer ~]$ openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAcreateserial -in client.csr -out client.crt
Signature ok
subject=/C=CN/ST=BeiJing/L=BeiJing/O=MyCompany Corp./CN=www.mycompany.com/[email protected]
Getting CA Private Key
Enter pass phrase for root.key: ← 輸入上面創建的密碼

10. 將客戶端證書文件client.crt和客戶端證書密鑰文件client.key合並成客戶端證書安裝包client.pfx：

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

輸出內容為：

[lenin@archer ~]$ openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx
Enter pass phrase for client.key: ← 輸入上面創建的密碼
Enter Export Password: ← 輸入一個新的密碼，用作客戶端證書的保護密碼，在客戶端安裝證書時需要輸入此密碼
Verifying – Enter Export Password: ← 確認密碼

11. 保存生成的文件備用，其中server.crt和server.key是配置單向SSL時需要使用的證書文件，client.crt是配置雙向SSL時需要使用的證書文件，client.pfx是配置雙向SSL時需要客戶端安裝的證書文件

.crt文件和.key可以合到一個文件裡面，把2個文件合成了一個.pem文件（直接拷貝過去就行了）

參考：http://sinolog.it/?p=1460

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

http://blog.sina.com.cn/s/blog_4fd50c390101891c.html

x509證書一般會用到三類文，key，csr，crt。

Key是私用密鑰openssl格，通常是rsa演算法。

Csr是證書請求文件，用於申請證書。在製作csr文件的時，必須使用自己的私鑰來簽署申，還可以設定一個密鑰。

crt是CA認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成

opensslgenrsa -des3 -out server.key 2048

這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是密鑰文件名。為了生成這樣的密鑰，需要一個至少四位的密碼。可以通過以下方法生成沒有密碼的key:

opensslrsa -in server.key -out server.key

server.key就是沒有密碼的版本了。

2.生成CA的crt

opensslreq -new -x509 -key server.key -out ca.crt -days3650

生成的ca.crt文件是用來簽署下面的server.csr文件。

3.csr的生成方法

opensslreq -new -key server.key -outserver.csr

需要依次輸入國家，地區，組織，email。最重要的是有一個common name，可以寫你的名字或者域名。如果為了https申請，這個必須和域名吻合，否則會引發瀏覽器警報。生成的csr文件交給CA簽名後形成服務端自己的證書。

4.crt生成方法

CSR文件必須有CA的簽名才可形成證書，可將此文件發送到verisign等地方由它驗證，要交一大筆錢，何不自己做CA呢。

opensslx509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key-CAcreateserial -out server.crt

輸入key的密鑰後，完成證書生成。-CA選項指明用於被簽名的csr證書，-CAkey選項指明用於簽名的密鑰，-CAserial指明序列號文件，而-CAcreateserial指明文件不存在時自動生成。

最後生成了私用密鑰：server.key和自己認證的SSL證書：server.crt

證書合並：

catserver.key server.crt > server.pem

『玖』 怎麼自己生成SSL證書並且在伺服器里配置

不起作用，並不會被瀏覽器信任，反而增加了很多不安全因素。
創建自簽名證書的步驟

注意：以下步驟僅用於配置內部使用或測試需要的SSL證書。

第1步：生成私鑰

使用openssl工具生成一個RSA私鑰

$ openssl genrsa -des3 -out server.key 2048

說明：生成rsa私鑰，des3演算法，2048位強度，server.key是秘鑰文件名。

注意：生成私鑰，需要提供一個至少4位的密碼。

第2步：生成CSR（證書簽名請求）

生成私鑰之後，便可以創建csr文件了。

此時可以有兩種選擇。理想情況下，可以將證書發送給證書頒發機構（CA），CA驗證過請求者的身份之後，會出具簽名證書（很貴）。另外，如果只是內部或者測試需求，也可以使用OpenSSL實現自簽名，具體操作如下：

$ openssl req -new -key server.key -out server.csr

說明：需要依次輸入國家，地區，城市，組織，組織單位，Common Name和Email。其中Common Name，可以寫自己的名字或者域名，如果要支持https，Common Name應該與域名保持一致，否則會引起瀏覽器警告。

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Beijing

Locality Name (eg, city) []:Beijing

Organization Name (eg, company) [Internet Widgits Pty Ltd]:joyios

Organizational Unit Name (eg, section) []:info technology

Common Name (e.g. server FQDN or YOUR name) []:demo.joyios.com

Email Address []:[email protected]

第3步：刪除私鑰中的密碼

在第1步創建私鑰的過程中，由於必須要指定一個密碼。而這個密碼會帶來一個副作用，那就是在每次Apache啟動Web伺服器時，都會要求輸入密碼，這顯然非常不方便。要刪除私鑰中的密碼，操作如下：

cp server.key server.key.org

openssl rsa -in server.key.org -out server.key

第4步：生成自簽名證書

如果你不想花錢讓CA簽名，或者只是測試SSL的具體實現。那麼，現在便可以著手生成一個自簽名的證書了。

$ openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

說明：crt上有證書持有人的信息，持有人的公鑰，以及簽署者的簽名等信息。當用戶安裝了證書之後，便意味著信任了這份證書，同時擁有了其中的公鑰。證書上會說明用途，例如伺服器認證，客戶端認證，或者簽署其他證書。當系統收到一份新的證書的時候，證書會說明，是由誰簽署的。如果這個簽署者確實可以簽署其他證書，並且收到證書上的簽名和簽署者的公鑰可以對上的時候，系統就自動信任新的證書。

第5步：安裝私鑰和證書

將私鑰和證書文件復制到Apache的配置目錄下即可，在Mac 10.10系統中，復制到/etc/apache2/目錄中即可。

需要注意的是，在使用自簽名證書時，瀏覽器會提示證書不受信任，如果你是對外網站使用，建議還是去CA機構申請可信的SSL證書。

『拾』 如何創建一個自簽名的SSL證書

自簽名證書只適合內部使用或測試需要，網站使用自簽名SSL證書存在極大的風險：

一：自簽SSL證書最容易被假冒和偽造，被欺詐網站利用

自簽SSL證書是可以隨意簽發的，不受任何監管，您可以自己簽發，別人也可以自己簽發。如果您的網站使用自簽SSL證書，那黑客也可以偽造一張一模一樣的自簽證書，用在釣魚網站上，偽造出有一樣證書的假冒網銀網站！

二：部署自簽SSL證書的網站，瀏覽器會持續彈出警告

自簽SSL證書是不受瀏覽器信任的，用戶訪問部署了自簽SSL證書的網站時，瀏覽器會持續彈出安全警告，極大影響用戶體驗。

三：自簽SSL證書最容易受到SSL中間人攻擊

用戶訪問部署了自簽SSL證書的網站，遇到瀏覽器警告提示時，網站通常會告知用戶點擊「繼續瀏覽」，用戶逐漸養成了忽略瀏覽器警告提示的習慣，這就給了中間人攻擊可乘之機，使網站更容易受到中間人攻擊。

典型的SSL中間人攻擊就是中間人與用戶或伺服器在同一個區域網，中間人可以截獲用戶的數據包，包括SSL數據包，並做一個假的伺服器SSL證書與用戶通信，從而截獲用戶輸入的機密信息。當網站被假的SSL證書替換時，瀏覽器會警告用戶此證書不受信任，需要用戶確認是否信任此證書，用戶習慣性點擊「繼續瀏覽」，中間人攻擊輕而易舉的實現了。

四：自簽SSL證書沒有可訪問的吊銷列表

這也是所有自簽SSL證書普遍存在的問題，做一個SSL證書並不難，使用OpenSSL幾分鍾就搞定，但真正讓一個SSL證書發揮作用就不是那麼輕松的事情了。要保證SSL證書正常工作，其中一個必備功能是要讓瀏覽器能實時查驗證書狀態是否已過期、已吊銷等，證書中必須帶有瀏覽器可訪問的證書吊銷列表。如果瀏覽器無法實時查驗證書吊銷狀態，一旦證書丟失或被盜而無法吊銷，就極有可能被用於非法用途而讓用戶蒙受損失。此外，瀏覽器還會發出「吊銷列表不可用，是否繼續？」的安全警告，大大延長瀏覽器的處理時間，影響網頁的流量速度。