在iOS中创建及使用自签名SSL证书（下）.pdf

uu001100770066336688的的专专栏栏 在在iiOOSS中中创创建建及及使使用用 自自签签名名SSSSLL证证书书 （（下下）） 分 ： Http 2013-12-19 16:21 164人阅读 评论 (0) 收藏 举报 自签名SSL证书iOS创建及使用自签名SSL证书HttpWatch 三三、、不不要要在在IIIISS （（信信息息服服务务器器））中中创创建建在在 自自签签名名证证书书 在IIS中创建自签名证书似乎很容易——只需选择 “CCrreeaattee  SSeellff--SSiiggnneedd  CCeerrttiiffiiccaattee”菜单项就行了： 值得注意的是，IIS是使用计算机名作为证书中的主机名的： 1 而在大多数情况下，计算机名与你预想的主机名是不匹配的，这将会导致你的自签名证书不能被信任， 即使把它 添加到iOS中： 通过从IIIISS66工工具具箱箱安装和运行SSeellffSSSSLL工具这个问题可以解决。不过，接下来这个使用OOppeennSSSSLL 的方法或许更容 易。 四四、、使使用用OOppeennSSSSLL，，使使创创建建 自自签签名名证证书书更更加加简简单单 2 创建自签名证书，其中一个最简单的方法就是使用OOppeennSSSSLL命命令令行行工工具具，这个方法适用于大多数平台，且它在 Mac OSX上是默认安装的。 首先创建一个私人秘钥文件： openssl genrsa -out myselfsigned.key 2048 然后：创建自签名证书： openssl req -new -x509 -key myselfsigned.key -out myselfsigned.cer -days 3 5 -subj /CN= 你可以使用任意文件名作为密钥和证书 （.cer）文件的文件名。/ CN参数需根据所需主机名 （例如上面例子中的 ）来设置。days参数指定过期日，从今天开始算起。 如果你不想下载OpenSSL的话，有一个网站可以帮你做：SSeellff--SSiiggnneedd  CCeerrttiiffiiccaattee  GGeenneerraattoorr，不过，自 己做当然是最安全的。 在Apache服务器上，密钥和证书文件可以直接在SSL配置中使用。而在IIS中你需要一个PFX文件，以便将证书导入到 IIS的服务器证书部分。 OpenSSL也可以为你创建PFX文件： openssl pkcs12 -export -out myselfsigned.pfx -inkey myselfsigned.key -in myselfsigned.cer 五五、、创创建建你你 自自己己的的认认证证机机构构 （（CCAA)) 使用自签名证书的一个问题是，你需要在每个设备上为每个证书设置信任关系。避开这个麻烦的一个方法就是创建 你自己的认认证证机机构构 （（CCAA ））根证书，然后基于它来创建证书。 你可以购买一个商商业业CCAA来创建SSL证书，然而你也可以自己充当自己的CA。自己创建认证机构的优势在于：你自定 义的CA证书在每个设备上只需安装一次。设备会根据你的根CA证书自动信任你发出的任何证书。 创建CA证书只需两步，首先仍是创建一个私人秘钥： openssl genrsa -out myCA.key 2048 然后创建证书： openssl req -x509 -new -key myCA.key -out myCA.cer -days 730 -subj /CN=My