说到这里，到底数字证书是从哪里来的呢？

数字证书，你可以自己制作，也可以向CA权威机构申请。

二者的区别是：

1. 自己颁发的证书，需要客户端验证通过，可能需要客户端自己安装上受信任的根证书。

2. 向权威的数字证书认证机构申请，由于这些机构在网民的电脑里都有相应的根证书，且这些机构是可信任的。

自签名脚本：create_self-signed-cert.sh

help ()

{

echo ' ================================================================ '

echo ' --ssl-domain: 生成ssl证书需要的主域名，如不指定则默认为www.rancher.local，如果是ip访问服务，则可忽略；'

echo ' --ssl-trusted-ip: 一般ssl证书只信任域名的访问请求，有时候需要使用ip去访问server，那么需要给ssl证书添加扩展IP，多个IP用逗号隔开；'

echo ' --ssl-trusted-domain: 如果想多个域名访问，则添加扩展域名（SSL_TRUSTED_DOMAIN）,多个扩展域名用逗号隔开；'

echo ' --ssl-size: ssl加密位数，默认2048；'

echo ' --ssl-cn: 国家代码(2个字母的代号),默认CN;'

echo ' 使用示例:'

echo ' ./create_self-signed-cert.sh --ssl-domain=www.test.com --ssl-trusted-domain=www.test2.com \ '

echo ' --ssl-trusted-ip=1.1.1.1,2.2.2.2,3.3.3.3 --ssl-size=2048 --ssl-date=3650'

echo ' ================================================================'

}

case "$1" in

-h|--help) help; exit;;

if [[ $1 == '' ]];then

help;

exit;

CMDOPTS="$*"

for OPTS in $CMDOPTS;

key=$(echo ${OPTS} | awk -F"=" '{print $1}' )

value=$(echo ${OPTS} | awk -F"=" '{print $2}' )

case "$key" in

--ssl-domain) SSL_DOMAIN=$value ;;

--ssl-trusted-ip) SSL_TRUSTED_IP=$value ;;

--ssl-trusted-domain) SSL_TRUSTED_DOMAIN=$value ;;

--ssl-size) SSL_SIZE=$value ;;

--ssl-date) SSL_DATE=$value ;;

--ca-date) CA_DATE=$value ;;

--ssl-cn) CN=$value ;;

esac

CA_DATE=${CA_DATE:-3650}

CA_KEY=${CA_KEY:-cakey.pem}

CA_CERT=${CA_CERT:-cacerts.pem}

CA_DOMAIN=cattle-ca

SSL_CONFIG=${SSL_CONFIG:-$PWD/openssl.cnf}

SSL_DOMAIN=${SSL_DOMAIN:-'www.rancher.local'}

SSL_DATE=${SSL_DATE:-3650}

SSL_SIZE=${SSL_SIZE:-2048}

CN=${CN:-CN}

SSL_KEY=$SSL_DOMAIN.key

SSL_CSR=$SSL_DOMAIN.csr

SSL_CERT=$SSL_DOMAIN.crt

echo -e "\033[32m ---------------------------- \033[0m"

echo -e "\033[32m | 生成 SSL Cert | \033[0m"

echo -e "\033[32m ---------------------------- \033[0m"

if [[ -e ./${CA_KEY} ]]; then

echo -e "\033[32m ====> 1. 发现已存在CA私钥，备份"${CA_KEY}"为"${CA_KEY}"-bak，然后重新创建 \033[0m"

mv ${CA_KEY} "${CA_KEY}"-bak

openssl genrsa -out ${CA_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 1. 生成新的CA私钥 ${CA_KEY} \033[0m"

openssl genrsa -out ${CA_KEY} ${SSL_SIZE}

if [[ -e ./${CA_CERT} ]]; then

echo -e "\033[32m ====> 2. 发现已存在CA证书，先备份"${CA_CERT}"为"${CA_CERT}"-bak，然后重新创建 \033[0m"

mv ${CA_CERT} "${CA_CERT}"-bak

openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"

echo -e "\033[32m ====> 2. 生成新的CA证书 ${CA_CERT} \033[0m"

openssl req -x509 -sha256 -new -nodes -key ${CA_KEY} -days ${CA_DATE} -out ${CA_CERT} -subj "/C=${CN}/CN=${CA_DOMAIN}"

echo -e "\033[32m ====> 3. 生成Openssl配置文件 ${SSL_CONFIG} \033[0m"

cat > ${SSL_CONFIG} <<EOM

if [[ -n ${SSL_TRUSTED_IP} || -n ${SSL_TRUSTED_DOMAIN} ]]; then

cat >> ${SSL_CONFIG} <<EOM

IFS=","

dns=(${SSL_TRUSTED_DOMAIN})

dns+=(${SSL_DOMAIN})

for i in "${!dns[@]}"; do

echo DNS.$((i+1)) = ${dns[$i]} >> ${SSL_CONFIG}

done

if [[ -n ${SSL_TRUSTED_IP} ]]; then

ip=(${SSL_TRUSTED_IP})

for i in "${!ip[@]}"; do

echo IP.$((i+1)) = ${ip[$i]} >> ${SSL_CONFIG}

done

fi

echo -e "\033[32m ====> 4. 生成服务SSL KEY ${SSL_KEY} \033[0m"

openssl genrsa -out ${SSL_KEY} ${SSL_SIZE}

echo -e "\033[32m ====> 5. 生成服务SSL CSR ${SSL_CSR} \033[0m"

openssl req -sha256 -new -key ${SSL_KEY} -out ${SSL_CSR} -subj "/C=${CN}/CN=${SSL_DOMAIN}" -config ${SSL_CONFIG}

echo -e "\033[32m ====> 6. 生成服务SSL CERT ${SSL_CERT} \033[0m"

openssl x509 -sha256 -req -in ${SSL_CSR} -CA ${CA_CERT} \

-CAkey ${CA_KEY} -CAcreateserial -out ${SSL_CERT} \

-days ${SSL_DATE} -extensions v3_req \

-extfile ${SSL_CONFIG}

echo -e "\033[32m ====> 7. 证书制作完成 \033[0m"

echo -e "\033[32m ====> 8. 以YAML格式输出结果 \033[0m"

echo "----------------------------------------------------------"

echo "ca_key: |"

cat $CA_KEY | sed 's/^/ /'

echo "ca_cert: |"

cat $CA_CERT | sed 's/^/ /'

echo "ssl_key: |"

cat $SSL_KEY | sed 's/^/ /'

echo "ssl_csr: |"

cat $SSL_CSR | sed 's/^/ /'

echo "ssl_cert: |"

cat $SSL_CERT | sed 's/^/ /'

echo -e "\033[32m ====> 9. 附加CA证书到Cert文件 \033[0m"

cat ${CA_CERT} >> ${SSL_CERT}

echo "ssl_cert: |"

cat $SSL_CERT | sed 's/^/ /'

echo -e "\033[32m ====> 10. 重命名服务证书 \033[0m"

echo "cp ${SSL_DOMAIN}.key tls.key"

cp ${SSL_DOMAIN}.key tls.key

echo "cp ${SSL_DOMAIN}.crt tls.crt"

cp ${SSL_DOMAIN}.crt tls.crt

执行脚本就好了

[root@localhost openssl] sh ./create_self-signed-cert.sh --ssl-domain=iswbm.com --ssl-trusted-ip=172.20.20.100 --ssl-trusted-domain=python.iswbm.com --ssl-size=2048 --ssl-cn=CN

...

...

...

[root@localhost openssl] ls -l

total 44

-rw-r--r-- 1 root root 1131 Jul 27 22:40 cacerts.pem

-rw-r--r-- 1 root root 17 Jul 27 22:40 cacerts.srl

-rw-r--r-- 1 root root 1679 Jul 27 22:40 cakey.pem

-rw-r--r-- 1 root root 5220 Jul 27 22:40 create_self-signed-cert.sh

-rw-r--r-- 1 root root 2290 Jul 27 22:40 iswbm.com.crt

-rw-r--r-- 1 root root 1070 Jul 27 22:40 iswbm.com.csr

-rw-r--r-- 1 root root 1675 Jul 27 22:40 iswbm.com.key

-rw-r--r-- 1 root root 345 Jul 27 22:40 openssl.cnf

-rw-r--r-- 1 root root 2290 Jul 27 22:40 tls.crt

-rw-r--r-- 1 root root 1675 Jul 27 22:40 tls.key

验证证书：执行下面这条命令，要显示为 OK

$ openssl verify -CAfile cacerts.pem tls.crt

查看服务器证书的内容

$ openssl x509 -in tls.crt -noout -text

不添加 CA 证书验证

$ openssl s_client -connect iswbm.com:443 -servername iswbm.com

添加 CA 证书验证

$ openssl s_client -connect iswbm.com:443 -servername iswbm.com -CAfile server-ca.crt

在阿里云和腾讯云都可以 进行 SSL 证书的申请，由于阿里去没有免费SSL证书的申请选项，所以下面会以腾讯云为例。

登陆腾讯云，可以看到SSL 证书有分很多种，企业型的，企业型专业版的，增强型，增强型专业版的，还有域名型免费版。

为了方便演示，我这里选 `域名型免费版` 。

可以免费申请 DV 证书

点击 `免费快速申请`

再点击下一步，会需要你验证域名所有权，验证方式有如下三种

1. 自动DNS验证

2. 手动DNS验证

3. 文件验证

但由于我的域名不是腾讯云平台解析的，因此没有 自动DNS验证的选项，只有其他两种，你可以点击详细说明，跟着操作即可。

最后确认申请，提交审核。

审核通过后，就会给你颁发证书，你可以从控制台点击证书下载。

下载下来的会是一个 zip 包。

解压一下，会有不同的服务器类型的文件夹。

每个文件夹里面都是三个文件

1. 根证书

2. 域名证书

3. 私钥文件

通过申请拿到了数字证书后，要想使用这个证书，需要在你的服务器上进行部署。

根据服务器的类型不同，部署安装的方式有有所区别，腾讯云的操作文档已经非常详细了，你可以通过这个链接访问到如下的文档：https://cloud.tencent.com/document/product/400/4143

[理解公钥与私钥](https://songlee24.github.io/2015/05/03/public-key-and-private-key/)

[前端须知的 Cookie 知识小结](https://juejin.im/post/5cd60dd751882520365ab55a)