本篇主要介绍了基于OpenSSL的PKI的PKI数字证书系统实现，利用OpenSSL建立一个CA中心的详细解决方案和建立的具体步骤。

1、PKI数字证书系统设计

　　PKI数字证书系统主要包括证书颁发机构CA、注册机构RA和公共查询数据库三个部分，基本框架如下:

2、OpenSSL对传输文件公钥加密私钥解密

　　OpenSSL RSA私钥生成:

　　$ openssl genrsa -out private.pem 2048

　　OpenSSL RSA公钥生成:

　　$ openssl rsa -in ./private.pem -pubout -out public.pem

　　创建file.txt为例，来加密file.txt内容 用公钥进行加密:

　　$openssl rsautl -encrypt -in file.txt -inkey public.pem -pubin -out message.en

　　用私钥进行解密:

　　$openssl rsautl -decrypt -in message.en -inkey private.pem -out message.txt

　　读取message.txt内容与file.txt进行对照即可验证

3、OpenSSL对传输文件私钥签名公钥验证

　　OpenSSL RSA私钥生成:$ openssl genrsa -out private.pem 2048

　　OpenSSL RSA公钥生成:$ openssl rsa -in ./private.pem -pubout -out public.pem

　　以file.txt为例，实现对文件私钥签名公钥验证

　　用私钥签名:

　　$openssl dgst -sign private.pem -md5 -out message.sign file.txt

　　用公钥验签:

　　$openssl dgst -verify public.pem -md5 -signature message.sign file.txt

　　终端显示Verified OK即验签成功

4、CA实现过程-总述

　　OpenSSL实现了安全套接层协议（SSL V2/V3）和传输层安全协议（TLS V1），并带有一个功能完整的、具有通用性的加密技术库。OpenSSL工具包分为三个部分：SSL函数库、Crypto函数库和命令行工具。通过使用OpenSSL构建CA认证中心。

5、CA实现过程-环境搭建

　　Windows平台下安装OpenSSL安装包开源平台: http://slproweb.com/products/Win32OpenSSL.html 可以选择Win64 OpenSSL v1.1.1g Light EXE/MSI版本，对于EXE版本，需要在电脑端配置后环境变量等，等安装配置好之后，在cmd终端输入：

　　$ openssl version 终端显示如OpenSSL 1.1.1g 等就已经安装完成

6、CA实现过程-生成数字证书-生成CA私钥以及自签名根证书

　　实现自建立CA，并用自建的CA对产生的数字证书进行签名。生成CA私钥以及自签名根证书具体过程如下:

　　（1）.生成CA私钥ca-key.pem; 打开交互模式$ openssl 生成CA私钥:

　　OpenSSL> genrsa -out ca-key.pem 1024

　　（2）.生成待签名证书ca-req.csr; 创建证书请求:

　　OpenSSL> req -new -out ca-req.csr -key ca-key.pem

　　（3）.用CA私钥进行自签名，产生x509证书文件ca-cert.pem; 自签署证书:

　　OpenSSL> x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365

　　（4）.生成CA证书:ca-cert.pfx

　　OpenSSL> pkcs12 -export -clcerts -in ca-cert.pem -inkey ca-key.pem -out ca-cert.pfx

　　在Windows端可以直接安装CA根证书

7、CA实现过程-生成数字证书-生成CA私钥以及自签名根证书

8、CA实现过程-生成数字证书-生成服务端证书

　　生成服务端证书具体过程如下:

　　（1）.生成server私钥; 生成server私钥:

　　OpenSSL> genrsa -out server-key.pem 1024

　　（2）.生成待签名证书; 创建证书请求:

　　OpenSSL> req -new -out server-req.csr -key server-key.pem

　　（3）.用CA私钥进行签名，产生x509证书文件; 自签署证书:

　　OpenSSL> x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365

　　（ 一般情况在根CA电脑端执行）

　　（4）.将生成的证书保存起来;

9、CA实现过程-生成数字证书-生成客户端证书

　　生成服务端证书具体过程与生成服务器证书类似:

　　（1）.生成client私钥; 生成server私钥:

　　OpenSSL> genrsa -out client-key.pem 1024

　　（2）.生成待签名证书; 创建证书请求:

　　OpenSSL> req -new -out client-req.csr -key client-key.pem

　　（3）.用CA私钥进行签名，产生x509证书文件; 自签署证书:

　　OpenSSL> x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365

　　（ 一般情况在根CA电脑端执行）

　　（4）.将生成的证书保存起来;

10、创建Https进行服务器证书测试

　　在终端执行: $ node index.js

　　在网站输入: https://localhost:8000/ 查询证书