Https双向认证证书生成

Android Applicationandroid-https双向验证

前期准备：
ssl证书生成一般可以通过2种工具：java环境下的keytool和openssl 但是大部分使用的都是openssl网上的命令文档也是以openssl居多，下面以openssl举例;
penSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。
单独下载openssl的话需要配置环境，这点可以自行百度进行配置！
我这边因为还需要配置phpsudy服务器而phpstudy自带有openssl工具所以我就没有去单独下载，后面也是以phpstudy自带的openssl为例说明：
phpstudy本地路劲： $PHPStudy\PHPTutorial\Apache\bin\openssl$
比如正常的openssl命令是下面这样：

1	openssl genrsa -des3 -out ca.key 2048

使用的时候则把openssl指向自己本地路劲的位置即可：

1	F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -des3 -out ca.key 2048

下面则直接使用正常命令，路劲手动替换一下即可：
win系统下新建一个文件夹用系统管理员打开windows.powershell界面：
快速打开windows.powershell

开始正式生成证书：
1.CA私钥: ca.key

1	openssl genrsa -out ca.key 1024

CA私钥: ca.key

2.创建根证书请求文件ca.csr:

1	openssl req -new -out ca.csr -key ca.key.key

这里需要填入配置信息：

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名（尽量用服务器域名，不然会引起服务器警告）
Email Address []:   邮箱地址(不填直接回车)
A challenge password []:123456 密码
An optional company name []:gs	公司名

ca.csr

3.自签根证书ca.cer：

1	openssl x509 -req -in ca.csr -out ca.cer -signkey ca.key -CAcreateserial -days 3650

ca.cer

4.生成p12格式根证书ca.p12(密码填写123456,之前ca.csr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)

1	openssl pkcs12 -export -clcerts -in ca.cer -inkey ca.key -out ca.p12

ca.p12
5.生成服务端key server.key:

1	F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -out server.key 1024

server.key
6.生成服务端请求文件 server.csr

1	openssl req -new -out server.csr -key server.key

填入证书配置信息：

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名（尽量用服务器域名，不然会引起服务器警告）
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs	公司名

7.生成服务端证书server.cer（ca.cer，ca.key，servr.key，server.csr这4个生成服务端证书）:

1	openssl x509 -req -in server.csr -out server.cer -signkey server.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650

server.cer
8.生成客户端key client.key:

1	openssl genrsa -out client.key 1024

9.生成客户端请求文件client.csr:

1	openssl req -new -out client.csr -key client.key

填入证书配置信息:

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:tyl  签发机构\开发者人员（这里随意）
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs	公司名

client.csr
10.生成客户端证书 client.cer:

1	openssl x509 -req -in client.csr -out client.cer -signkey client.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650

client.cer
11.生成客户端p12格式根证书client.p12(密码设置123456)：

1	openssl pkcs12 -export -clcerts -in client.cer -inkey client.key -out client.p12

client.p12
至此，证书就制作完毕了：

服务器端配置(详细配置过程可见：https://www.jianshu.com/p/bbf853fc28f3)：

server {
        listen      443 ssl; 	  #http的端口号是80，https的端口为443
        server_name  www.test.com #服务器域名 配置多个时不要添加;号即可
	ServerName 127.0.0.1
	ServerName 192.168.0.111;
	ssl on;   #开启ssl


    ssl_certificate C:\Users\Administrator\Desktop\ssl4\server.cer; 	#服务器证书文件
    ssl_certificate_key C:\Users\Administrator\Desktop\ssl4\server.key; #服务器证书密匙
    ssl_client_certificate C:\Users\Administrator\Desktop\ssl4\ca.cer;	#根证书
    ssl_verify_depth 1;
    ssl_verify_client on; #开启客户端验证

  location / {
            root   F:\PHPStudy\PHPTutorial\WWW;   #本地网站文件目录
            index  index.HTML index.html index.htm ;
        }       
        }

小建议：
制作的时候有的命令可以自行修改的，如证书名称等。
可自建一个txt文本，把openssl命令复制进去后再进行修改好后，才复制到windows powershell界面中执行
注意：
windows powershell执行openssl命令不能有错误提示，认真比对一下证书生成过后的提示，哪怕是警告也可能造成证书是失效的！我就踩过不少的坑，有的错误可以自行百度错误提示解决！