---

如何在 Windows 安装和使用 OpenSSL？详细指南

OpenSSL 是一个功能强大、应用广泛的开源加密工具包，实现了安全套接字层（SSL）和传输层安全（TLS）协议，并提供了丰富的密码学函数库。它在互联网安全、数字证书管理、数据加密解密等方面扮演着核心角色。虽然 OpenSSL 主要是在类 Unix 系统（如 Linux、macOS）上开发的，但它在 Windows 环境中同样有着广泛的应用需求，例如生成证书、测试 SSL/TLS 连接、进行数据加密/解密等。

然而，与在 Linux 上通常可以通过包管理器直接安装不同，OpenSSL 官方网站并没有直接提供针对 Windows 的预编译二进制文件。这意味着在 Windows 上安装 OpenSSL 需要依赖第三方提供的构建版本，或者自行从源代码编译。这对于不熟悉编译环境的用户来说可能是一个挑战。

本文将详细介绍在 Windows 系统上安装和使用 OpenSSL 的常见方法，包括推荐的预编译版本安装方式以及一些基本的命令行使用示例。

理解 Windows 上的 OpenSSL 安装挑战

如前所述，OpenSSL 官方不提供 Windows 的预编译二进制文件。这是因为构建 OpenSSL 需要特定的编译环境（如 C 编译器、Perl 解释器、汇编器等），并且可以针对不同的需求（例如，是否包含特定的算法、是否静态链接库等）进行配置。官方选择将构建过程留给各个平台的维护者或最终用户。

因此，在 Windows 上安装 OpenSSL，通常需要从可信赖的第三方来源获取已经编译好的版本。这些第三方通常会提供一个简单的安装程序（.exe）或者一组已经构建好的文件。选择一个可靠的第三方构建版本至关重要，以确保软件的安全性和稳定性。

方法一：使用预编译的二进制安装包（推荐）

对于大多数只需要使用 OpenSSL 命令行工具或其库文件的 Windows 用户来说，使用第三方提供的预编译安装包是最简单、快捷的方式。目前，有两个比较流行且维护较好的第三方构建版本：

1. Shining Light Productions 的 OpenSSL 构建版本： 这是一个由第三方维护的、提供安装程序的 OpenSSL 构建版本，更新相对及时。
2. OpenSSL For Windows (indy.fulgan.com) 的构建版本： 这是另一个长期提供 OpenSSL Windows 构建的来源，也提供了多种版本和配置选项。

出于稳定性和易用性考虑，本文将以 Shining Light Productions 提供的版本为例进行说明。

1. 下载安装包

打开浏览器，访问 Shining Light Productions 的 OpenSSL 下载页面（通常搜索 “Shining Light Productions OpenSSL” 即可找到）。

在下载页面，你会看到不同版本（如 1.1.1 系列、3.x 系列等）和不同架构（32位或 64位）的安装文件。

• 版本选择： 推荐选择最新的稳定版本（通常是非带有 pre 或 beta 标记的版本）。最新的版本通常包含最新的安全补丁和功能。
• 架构选择： 根据你的 Windows 系统架构选择对应的版本。大多数现代 Windows 系统都是 64位（x64）。如果你不确定，可以在“此电脑”或“我的电脑”上右键 -> “属性”中查看系统类型。选择 Win64 OpenSSL 相关的安装文件。
• 安装类型选择： 通常会有 exe 和 zip 格式。exe 是一个标准的 Windows 安装程序，更方便；zip 是免安装的压缩包，需要手动配置。推荐使用 exe 安装程序。还会看到带有 Light 字样的版本，这通常是不包含文档和一些较少使用的组件的精简版。对于一般使用，标准版或 Light 版都可以。

选择并下载适合你的安装文件，例如 Win64OpenSSL-3.2.1.exe (版本号可能会变)。

2. 运行安装程序

找到下载的 .exe 文件，双击运行。如果出现用户账户控制（UAC）提示，请允许。

安装过程是一个标准的 Windows 安装向导：

• 许可协议： 阅读并接受许可协议。
• 安装位置： 选择安装 OpenSSL 的目标文件夹。建议选择一个路径中不包含空格的简单路径，例如 C:\OpenSSL-Win64 或 D:\OpenSSL。这将有助于避免后续在命令行使用时可能遇到的路径问题。
• 选择组件： 默认选项通常包含核心文件、文档等。对于普通用户，默认即可。如果你只需要命令行工具，确保选中了相关选项。
• 重要步骤：将 OpenSSL 目录添加到系统 PATH 环境变量
  • 在安装向导中，有一个非常重要的步骤是询问是否将 OpenSSL 的可执行文件目录（通常是安装目录下的 bin 文件夹）添加到系统的 PATH 环境变量。
  • 强烈建议选择将 OpenSSL 目录添加到系统的 PATH 环境变量中。 这通常有两个选项：
    • The OpenSSL binaries (/bin) directory：仅将 bin 目录添加到 PATH。
    • The OpenSSL program files directory：将整个安装目录添加到 PATH。
    • 更好的选项通常是 The OpenSSL binaries (/bin) directory。选择这个选项后，你就可以在任意命令行窗口直接输入 openssl 命令而不需要切换到其安装目录。
  • 如果安装程序没有这个选项，或者你不小心跳过了，也不用担心，可以在安装完成后手动添加。
• 开始安装： 确认设置无误后，点击安装。

3. 手动配置环境变量（如果安装时未自动配置）

如果你在安装时选择了不添加 PATH，或者安装程序没有提供这个选项，你需要手动将 OpenSSL 的 bin 目录添加到系统的 PATH 环境变量中。

这个步骤是为了让系统知道在哪里找到 openssl.exe 这个程序文件。

• 步骤：

  1. 按下 Win + R 键，输入 sysdm.cpl，然后按回车，打开“系统属性”。
  2. 在“系统属性”窗口中，切换到“高级”选项卡。
  3. 点击右下角的“环境变量”按钮。
  4. 在弹出的“环境变量”窗口中，找到下方的“系统变量”列表。
  5. 在“系统变量”列表中找到名为 Path 的变量，双击它进行编辑。
  6. 在“编辑环境变量”窗口中，点击“新建”按钮。
  7. 输入你的 OpenSSL 安装目录下的 bin 文件夹的完整路径，例如 C:\OpenSSL-Win64\bin。
  8. 点击“确定”关闭所有打开的窗口（编辑环境变量、环境变量、系统属性）。

• 重要提示： 修改环境变量后，需要关闭所有正在运行的命令行窗口（cmd 或 PowerShell），然后重新打开一个新的窗口，以便新的环境变量生效。

4. 验证安装

打开一个新的命令行窗口（cmd 或 PowerShell）。

输入以下命令并按回车：

bash
openssl version

如果安装成功且 PATH 配置正确，你应该会看到类似以下的输出，显示安装的 OpenSSL 版本信息：

OpenSSL 3.2.1 16 Jan 2024 (Library: OpenSSL 3.2.1 16 Jan 2024)

如果你看到错误信息，如 'openssl' 不是内部或外部命令，也不是可运行的程序或批处理文件。，这意味着系统没有找到 openssl.exe。请返回检查并确保：
* 你正确输入了命令。
* OpenSSL 的 bin 目录确实存在且路径正确。
* 你已经将正确的 bin 目录路径添加到了系统的 PATH 环境变量中。
* 你已经关闭并重新打开了命令行窗口。

方法二：使用包管理器安装

对于习惯使用包管理器来管理软件的用户，或者需要在更接近 Unix 环境下工作的开发者，可以通过一些 Windows 上的包管理器来安装 OpenSSL。

1. 使用 MSYS2

MSYS2 提供了一个类似 Unix 的 shell 环境和包管理系统（pacman），可以在 Windows 上安装许多开源软件，包括 OpenSSL。

• 前提： 需要先安装 MSYS2。请参考 MSYS2 官方文档进行安装。
• 安装步骤：
  1. 打开 MSYS2 MinGW 64-bit 或 MSYS2 UCRT64 Shell (取决于你的需求)。
  2. 更新 pacman 包数据库和核心系统：pacman -Syu
  3. 根据你需要的是 MSYS2 环境下的 OpenSSL 还是 MinGW 环境下的 OpenSSL，运行相应的安装命令：
     • MSYS2 环境下：pacman -S openssl
     • MinGW 64-bit 环境下：pacman -S mingw-w64-x86_64-openssl
     • MinGW 32-bit 环境下：pacman -S mingw-w64-i686-openssl
  4. 确认安装。

安装完成后，你可以在 MSYS2 的 shell 环境中直接使用 openssl 命令。如果你想在 Windows 的原生命令行（cmd/PowerShell）中使用，可能需要将 MSYS2 或 MinGW 的 bin 目录添加到 Windows 的系统 PATH 中（但这样做可能会引入其他冲突，不如直接在 MSYS2 环境中使用）。

2. 使用 Chocolatey

Chocolatey 是一个流行的 Windows 包管理器，可以通过命令行方便地安装和管理软件包。

• 前提： 需要先安装 Chocolatey。请参考 Chocolatey 官方文档进行安装。
• 安装步骤：
  1. 打开一个以管理员权限运行的 PowerShell 或 cmd 窗口。
  2. 运行安装命令：choco install openssl
  3. 根据提示确认安装。

Chocolatey 安装的 OpenSSL 通常会自动将其 bin 目录添加到系统 PATH 中。安装完成后，打开新的命令行窗口验证：openssl version。

3. 使用 vcpkg

vcpkg 是微软推出的 C++ 库管理器，也可以用来安装 OpenSSL，主要面向开发者，用于将 OpenSSL 集成到 C++ 项目中。

• 前提： 需要先安装 vcpkg 并进行集成。请参考 vcpkg 官方文档。
• 安装步骤：
  1. 打开命令提示符或 PowerShell。
  2. 运行安装命令（以安装 64 位 Windows 版本的 OpenSSL 为例）：vcpkg install openssl:x64-windows
  3. vcpkg 会下载源码并编译。

vcpkg 安装的 OpenSSL 主要用于开发链接，通常不会自动将其命令行工具添加到系统 PATH 中，你需要手动切换到 vcpkg 安装目录下的相应路径来使用 openssl.exe。

方法三：从源代码编译（高级）

从源代码编译 OpenSSL 是最灵活的方式，允许用户进行自定义配置，但也是最复杂的方式，需要搭建完整的编译环境，包括：

• 支持 C99 的 C 编译器（如 Visual Studio 的 MSVC 编译器或 MinGW-W64）
• Perl 解释器（ActivePerl 或 Strawberry Perl 推荐）
• 汇编器（如 NASM，取决于目标架构和编译选项）
• 可能还需要其他库和工具

编译过程涉及运行配置脚本（Config or Configure）、运行 nmake (MSVC) 或 make (MinGW) 命令等多个步骤，且容易遇到各种环境问题。这个方法不适合大多数只想使用 OpenSSL 命令行的用户。如果你的项目或特定需求要求从源代码编译，请参考 OpenSSL 官方的 INSTALL 文档或第三方提供的 Windows 编译指南。

总结安装方法： 对于普通用户和大多数使用场景，方法一：使用 Shining Light Productions 或类似来源提供的预编译安装包，并在安装时或安装后将 bin 目录添加到系统 PATH，是最简单、最推荐的方式。

OpenSSL 基本命令行使用示例

安装并验证 OpenSSL 成功后，你就可以在命令行中使用 openssl 命令来执行各种密码学和证书相关的操作了。以下是一些常见的 OpenSSL 命令使用示例：

在执行以下命令时，请确保你的当前目录是你希望生成文件的位置，或者在命令中指定完整的路径。

1. 检查 OpenSSL 版本

bash
openssl version
这是确认安装成功的第一步，会显示当前 OpenSSL 的版本信息。

2. 生成 RSA 私钥

RSA 是常用的非对称加密算法。生成私钥是创建证书或进行加密通信的第一步。

bash
openssl genrsa -out private.key 2048
* genrsa: 生成 RSA 私钥的命令。
* -out private.key: 将生成的私钥保存到名为 private.key 的文件中。你可以替换为你想要的文件名。
* 2048: 指定密钥的长度为 2048 位。这是一个常用的安全长度。更长的密钥（如 4096）安全性更高，但计算开销更大。

执行此命令后，会在当前目录下生成 private.key 文件。默认情况下，私钥不会被密码保护。

3. 生成受密码保护的 RSA 私钥

如果你希望保护私钥，可以在生成时添加 -aes256 或其他加密算法选项：

bash
openssl genrsa -aes256 -out private.key 2048
执行此命令后，会提示你设置一个 PEM pass phrase（密码）。请牢记这个密码，因为在以后使用这个私钥时都需要输入。

4. 从受保护的私钥生成不受保护的私钥

如果你有一个受密码保护的私钥，但需要在某些自动化场景下使用它（这些场景可能无法交互式输入密码），你可以生成一个不受保护的版本：

bash
openssl rsa -in private.key -out private_unencrypted.key
* rsa: 处理 RSA 密钥的命令。
* -in private.key: 指定输入的受保护私钥文件。
* -out private_unencrypted.key: 指定输出的不受保护的私钥文件。

执行此命令后，会要求你输入原始私钥的密码。

5. 生成证书签名请求 (CSR)

CSR 是向证书颁发机构 (CA) 申请数字证书时需要提交的文件。CSR 包含了你的公钥以及关于你的组织/网站的信息。

bash
openssl req -new -key private.key -out csr.csr
* req: 证书请求和管理命令。
* -new: 创建一个新的证书请求。
* -key private.key: 指定用于生成 CSR 的私钥文件。
* -out csr.csr: 将生成的 CSR 保存到名为 csr.csr 的文件中。

执行此命令后，OpenSSL 会进入交互模式，要求你输入一系列信息，这些信息将包含在 CSR 中：

• Country Name (2 letter code): 国家代码（例如 CN 表示中国，US 表示美国）。
• State or Province Name (full name): 省份/州名。
• Locality Name (eg, city): 城市名。
• Organization Name (eg, company): 组织/公司名称。
• Organizational Unit Name (eg, section): 组织单位名称（例如 IT 部门）。
• Common Name (e.g. server FQDN or YOUR name): 非常重要！ 对于 SSL 证书，这通常是你的域名（例如 www.example.com）。对于个人证书，可以是你的名字。
• Email Address: 电子邮件地址。
• A challenge password: 可选密码，用于CA验证身份，通常留空。
• An optional company name: 可选的公司名称，通常留空。

完成输入后，会生成 csr.csr 文件。你可以将这个文件提交给 CA 来获取正式的数字证书。

6. 生成自签名证书

如果你不需要由 CA 签发的证书，只需要一个用于测试或内部用途的证书，可以使用私钥直接生成自签名证书。

bash
openssl req -x509 -nodes -days 365 -key private.key -out certificate.crt
* req: 证书请求和管理命令。
* -x509: 生成一个自签名的 X.509 证书，而不是 CSR。
* -nodes: no des 的缩写，表示生成的私钥不使用 DES 或其他加密算法进行保护（如果你的 private.key 已经受保护，这个选项会无效，需要输入密码）。
* -days 365: 指定证书的有效期为 365 天。
* -key private.key: 指定用于生成证书的私钥文件。
* -out certificate.crt: 将生成的证书保存到名为 certificate.crt 的文件中。

执行此命令后，同样会进入交互模式要求你输入证书信息，与生成 CSR 时类似。完成后，会生成 certificate.crt 文件。

自签名证书在浏览器访问时通常会显示“不安全”警告，因为它不是由浏览器信任的 CA 签发的。

7. 查看证书内容

你可以使用 OpenSSL 来查看数字证书文件的详细信息。

bash
openssl x509 -in certificate.crt -text -noout
* x509: X.509 证书管理命令。
* -in certificate.crt: 指定要查看的证书文件。
* -text: 以文本格式显示证书的详细信息。
* -noout: 防止输出证书的 PEM 编码内容，只输出文本信息。

执行此命令会显示证书的颁发者、有效期、主题信息、公钥、签名算法等详细内容。

8. 查看 CSR 内容

类似地，可以查看 CSR 文件的内容。

bash
openssl req -in csr.csr -text -noout
* req: 证书请求命令。
* -in csr.csr: 指定要查看的 CSR 文件。
* -text: 以文本格式显示详细信息。
* -noout: 防止输出 CSR 的 PEM 编码内容。

执行此命令会显示 CSR 中的信息，包括申请者的公钥和在生成 CSR 时输入的主题信息。

9. 使用 OpenSSL 进行文件加密和解密

OpenSSL 也可以用来对文件进行对称加密。

加密文件：

bash
openssl enc -aes256 -salt -in plaintext.txt -out encrypted.enc
* enc: 加密/解密文件命令。
* -aes256: 指定使用的对称加密算法（这里使用 AES-256）。
* -salt: 添加一个随机的盐值（salt），增加安全性。OpenSSL 会使用你输入的密码和盐值生成密钥。
* -in plaintext.txt: 指定需要加密的输入文件。
* -out encrypted.enc: 指定加密后输出的文件名。

执行此命令后，OpenSSL 会提示你输入并确认一个密码（enter aes-256 encryption password）。

解密文件：

bash
openssl enc -d -aes256 -salt -in encrypted.enc -out decrypted.txt
* -d: 指定进行解密操作。
* -aes256: 指定加密时使用的算法，解密时必须使用相同的算法。
* -salt: 如果加密时使用了盐值，解密时也需要指定此选项（OpenSSL 会从加密文件中读取盐值）。
* -in encrypted.enc: 指定需要解密的输入文件。
* -out decrypted.txt: 指定解密后输出的文件名。

执行此命令后，会提示你输入加密时设置的密码（enter aes-256 decryption password）。如果密码正确，encrypted.enc 的内容将被解密并保存到 decrypted.txt 中。

10. 计算文件摘要（哈希值）

OpenSSL 可以计算文件的哈希值（如 MD5, SHA-256 等），用于验证文件完整性。

bash
openssl dgst -sha256 filename.txt
* dgst: 计算消息摘要（哈希值）命令。
* -sha256: 指定使用的哈希算法（如 -md5, -sha1, -sha512 等）。
* filename.txt: 指定要计算哈希值的文件。

执行此命令会输出文件的 SHA-256 哈希值。

常见问题与故障排除

• 'openssl' 不是内部或外部命令...： 这是最常见的错误，几乎总是意味着 OpenSSL 的 bin 目录没有被添加到系统的 PATH 环境变量中，或者添加后没有重新打开命令行窗口。请仔细检查并重新配置 PATH。
• 权限问题： 如果尝试在系统目录（如 C:\Program Files）下生成文件，可能会遇到权限错误。尝试在用户目录（如桌面、文档）下执行命令，或者以管理员身份运行命令行窗口。
• DLL 文件缺失： 有时在运行 openssl 命令时会提示缺少 .dll 文件。这通常是由于 OpenSSL 的 bin 目录没有正确添加到 PATH，或者安装不完整。确保 bin 目录在 PATH 中，并且该目录下包含所有必要的 .dll 文件（如 libcrypto-*.dll, libssl-*.dll 等）。
• 多个 OpenSSL 版本冲突： 如果系统中安装了多个 OpenSSL 版本（例如，通过不同方式安装或被其他软件捆绑），系统会优先执行在 PATH 中靠前找到的那个版本。如果需要使用特定版本，可以：
  • 调整 PATH 中 OpenSSL 目录的顺序。
  • 使用完整的路径来调用特定的 openssl.exe，例如 C:\OpenSSL-Win64\bin\openssl version。
  • 卸载不需要的版本。

结论

在 Windows 上安装和使用 OpenSSL 主要是通过获取可靠的第三方预编译二进制文件，并确保其可执行文件路径被正确地添加到系统的 PATH 环境变量中。一旦安装配置完成，就可以在命令行中利用 OpenSSL 强大的功能进行密钥生成、证书管理、数据加解密和哈希计算等操作。

掌握了 OpenSSL 的安装和基本命令，将极大地提升你在处理与 SSL/TLS、数字证书和加密相关的任务时的效率和能力。OpenSSL 的功能远不止本文介绍的这些，它还支持各种其他算法、协议测试、证书格式转换等高级操作。如果需要进一步学习，可以查阅 OpenSSL 官方（或其他来源）的详细文档，但请注意文档通常是针对 Linux/Unix 环境编写的，在 Windows 上使用时需注意路径分隔符和环境差异。