EV SSL证书

CA(Certificate Authority，证书授权)由认证机构服务提供者签发，是数字签名的技术基本保障，也是网上实体身份的证明，可以证明实体身份及其公钥的合法性，证明实体与公钥的匹配关系。

证书是公钥的载体，证书上的公钥与实体身份捆绑在一起。现在，一个是签名证书银行的PKI机制一般是双证机制，即一个实体应该有两个证书和两个密钥，其中一个是加密证书，另一个是签名证书，加密证书原则上不能用于签名。

在电子商务系统中，所有实体的证书都由证书授权中心，即CA中心颁发和签署。一个完整、安全的电子商务系统必须建立一个完整、合理的CA系统。CA系统由证书审批部门和证书操作部门组成。

获得SSL证书有两种方式：

1、自己通过keytool生成；

2、通过证书授权机构购买。

大多数商业行为采用后者。

1、生成加密自签名（SSL）证书

使用命令：

opensslreq-new-x509-newkeyrsa:2048-keyout/data/server.key-out/data/server.crt

注:执行命令后，需要输入密码，然后依次输入国家、地区、城市、组织、组织单位、Commonname和Email。其中，Commonname，可以写自己的名字或域名，如果要支持https，Commonname应该与域名保持一致，否则会引起浏览器警告。

2、生成不加密的签名（SSL）证书

1)生成私钥

使用openssl工具生成RSA私钥

opensslgenrsa-des3-out/data/server.key2048

注：生成rsa私钥，des3算法，2048位强度，server.key是一个密钥文件名，生成一个私钥，要求您输入这个key文件的密码至少提供四个密码，因为您必须在生成时输入密码。您可以在输入后删除它（因为它将来会被nginx使用。每次reloadnginx配置，您都需要验证此PAM密码）。

2)删除密码

mv/data/server.key/data/server.key.org（或cp/data/server.key/data/server.key.org）

opensslrsa-in/data/server.key.org-out/data/server.key

3)生成CSR(证书签名请求)

生成私钥后，根据这个key文件生成证书请求csr文件

使用OpenSSL实现自签名，具体操作如下：

opensslreq-new-key/data/server.key-out/data/server.csr

注:执行命令后，需要输入密码，然后依次输入国家、地区、城市、组织、组织单位、Commonname和Email。其中，Commonname，可以写自己的名字或域名，如果要支持https，Commonname应该与域名保持一致，否则会引起浏览器警告。

4)生成自签名crt证书

最后，根据key和csr生成crt证书文件

openslx509-req-days3650-in/data/server.csr-signkey/data/server.key-out/data/server.crt