Windows下OpenSSL详细教程 – wiki基地

---

Windows 下 OpenSSL 详细教程

OpenSSL 是一个功能强大、开源的命令行工具和密码学工具包，它实现了安全套接字层 (SSL) 和传输层安全 (TLS) 协议。它广泛用于生成私钥、证书签名请求 (CSR)、SSL/TLS 证书，以及用于保护数据和通信的各种加密操作。虽然在 Linux 和 macOS 上通常预装，但 Windows 用户需要单独安装。

本教程将指导您在 Windows 上安装 OpenSSL，并执行常见的任务，例如生成密钥、CSR 和自签名证书。

1. 在 Windows 上安装 OpenSSL

在 Windows 上安装 OpenSSL 涉及几个关键步骤，包括安装先决条件和配置环境变量。

1.1 先决条件：Microsoft Visual C++ 可再发行组件

在安装 OpenSSL 之前，您必须安装 Microsoft Visual C++ 可再发行组件。OpenSSL 依赖这些库才能正常运行。

1. 下载： 访问 Microsoft 网站并下载适用于您的系统的相应 Visual C++ 可再发行组件包（例如，适用于现代 Windows 版本的 Visual Studio 2015-2022）。确保为 64 位系统下载 x64 版本。
2. 安装： 运行下载的安装程序并按照屏幕上的提示进行操作。

1.2 下载 OpenSSL 安装程序

在 Windows 上安装 OpenSSL 最简单的方法是使用预编译的二进制发行版。“Win32/Win64 OpenSSL Installation Project”由 Shining Light Productions 提供，是一个受欢迎的选择。

1. 访问网站： 前往 Shining Light Productions 网站 (slproweb.com/products/Win32OpenSSL.html)。
2. 选择版本： 下载与您的 Windows 架构匹配的最新“Light”版本 OpenSSL 安装程序（例如，适用于 64 位系统的 Win64OpenSSL-Light-x.x.x.exe）。“Light”版本通常足以满足大多数用户。

1.3 运行安装程序

1. 以管理员身份运行： 找到下载的安装程序，右键单击它，然后选择“以管理员身份运行”。
2. 遵循提示：
   • 接受许可协议。
   • 当提示安装目录时，建议将其安装在 Windows 目录之外，例如 C:\Program Files\OpenSSL-Win64（对于 64 位）或 C:\OpenSSL-Win64，以避免权限问题。
   • 选择将 OpenSSL DLL 复制到“OpenSSL binaries (/bin) directory”或“Windows system directory”。保留默认值（Windows 系统目录）通常没问题，但一些指南建议使用 /bin 目录。
   • 完成安装。

1.4 配置环境变量

安装后，您需要配置系统环境变量，以便 Windows 可以找到 OpenSSL 命令。

1. 打开环境变量：
   • 右键单击“此电脑”（或“计算机”）并选择“属性”。
   • 单击“高级系统设置”。
   • 单击“环境变量…”按钮。
2. 编辑 ‘Path’ 变量：
   • 在“系统变量”部分，找到并选择 Path 变量，然后单击“编辑”。
   • 单击“新建”并添加 OpenSSL bin 目录的路径（例如，C:\Program Files\OpenSSL-Win64\bin 或 C:\OpenSSL-Win64\bin）。
   • 在所有窗口上单击“确定”以保存更改。
3. 设置 ‘OPENSSL_CONF’ 变量：
   • 在“系统变量”部分，单击“新建…”以创建新的系统变量。
   • 将“变量名”设置为 OPENSSL_CONF。
   • 将“变量值”设置为 openssl.cfg 文件的路径（例如，C:\Program Files\OpenSSL-Win64\bin\openssl.cfg 或 C:\OpenSSL-Win64\bin\openssl.cfg）。
   • 在所有窗口上单击“确定”。

1.5 验证安装

1. 打开新的命令提示符： 关闭任何现有的命令提示符窗口，然后打开一个新窗口。这确保加载了新的环境变量。
2. 测试 OpenSSL： 键入 openssl version 并按 Enter。
   • 如果安装成功，您应该会看到 OpenSSL 版本信息（例如，“OpenSSL 3.x.x”）。
   • 如果出现“command not recognized”之类的错误，请仔细检查您的 Path 环境变量。

2. 基本 OpenSSL 命令

安装 OpenSSL 后，您可以开始将其用于加密任务。最好为证书文件创建一个专用目录。

2.1 生成私钥

私钥是用于加密和解密数据的密钥。它是创建 CSR 和证书的基础。

bash
openssl genrsa -out privatekey.key 2048

• genrsa：生成 RSA 私钥。
• -out privatekey.key：指定私钥的输出文件名。
• 2048：将密钥长度设置为 2048 位，这是常见且安全的长度。您可以使用 4096 来增强加密强度。

2.2 生成证书签名请求 (CSR)

CSR 是发送给证书颁发机构 (CA) 以获取 SSL/TLS 证书的请求。它包含您的公钥和身份信息。

bash
openssl req -new -key privatekey.key -out CSR.csr

• req：指定您正在创建证书请求。
• -new：表示要生成新的证书请求。
• -key privatekey.key：指定用于签署 CSR 的私钥。
• -out CSR.csr：指定 CSR 的输出文件名。

系统将提示您输入信息。以下是一些重要的字段：

• 国家/地区名称（2 个字母代码）： 例如，US
• 州或省名称（全称）： 例如，California
• 地区名称（例如，城市）： 例如，San Francisco
• 组织名称（例如，公司）： 例如，My Company Inc.
• 组织单位名称（例如，部门）： 例如，IT Department（可选）
• 通用名称（例如，服务器 FQDN 或您的姓名）： 这很关键。对于 Web 服务器，它必须是服务器的完全限定域名 (FQDN)（例如，www.example.com 或 example.com）。对于通配符证书，请使用 *.example.com。
• 电子邮件地址： （可选）
• 质询密码： （可选，但如果设置，请记住它）
• 可选的公司名称： （可选）

2.3 生成自签名证书

自签名证书由您自己的私钥而不是受信任的 CA 签名。它对于测试、内部应用程序或不需要公共信任的开发环境很有用。

bash
openssl x509 -req -days 365 -in CSR.csr -signkey privatekey.key -out certificate.crt

• x509：指定 X.509 证书管理。
• -req：表示输入是 CSR。
• -days 365：将证书的有效期设置为 365 天。根据需要进行调整。
• -in CSR.csr：指定输入 CSR 文件。
• -signkey privatekey.key：指定用于签署证书的私钥。
• -out certificate.crt：指定自签名证书的输出文件名。

2.4 查看证书和 CSR 详细信息

您可以检查生成的 CSR 和证书文件的内容。

• 查看 CSR：
  bash
openssl req -in CSR.csr -text -noout
• 查看证书：
  bash
openssl x509 -in certificate.crt -text -noout
  • -text：以人类可读的文本格式显示证书。
  • -noout：防止输出证书的编码版本。

3. 常见问题故障排除

• ‘openssl’ 未被识别为内部或外部命令： 这是最常见的问题，表示 Path 环境变量未正确设置，或者设置后未打开新的命令提示符窗口。
  • 解决方案： 重新检查 Path 环境变量中 OpenSSL bin 目录的路径，并确保打开 新的 命令提示符窗口。
• 加载 openssl.cfg 错误： 这通常意味着 OPENSSL_CONF 环境变量未正确设置，或者 openssl.cfg 文件不在指定位置。
  • 解决方案： 验证 OPENSSL_CONF 变量指向 OpenSSL 安装目录中正确的 openssl.cfg 文件。

本教程涵盖了在 Windows 上开始使用 OpenSSL 的基本步骤。有关更高级的操作，请参阅 OpenSSL 文档或针对您的用例的特定指南。

This article provides a detailed guide for installing and using OpenSSL on Windows. It covers prerequisites, installation steps, environment variable configuration, and common commands for generating private keys, CSRs, and self-signed certificates. It also includes a troubleshooting section for common issues.
The article is formatted in markdown for readability.I have generated a detailed article about “Windows下OpenSSL详细教程” as requested.

---

Windows 下 OpenSSL 详细教程

OpenSSL 是一个功能强大、开源的命令行工具和密码学工具包，它实现了安全套接字层 (SSL) 和传输层安全 (TLS) 协议。它广泛用于生成私钥、证书签名请求 (CSR)、SSL/TLS 证书，以及用于保护数据和通信的各种加密操作。虽然在 Linux 和 macOS 上通常预装，但 Windows 用户需要单独安装。

本教程将指导您在 Windows 上安装 OpenSSL，并执行常见的任务，例如生成密钥、CSR 和自签名证书。

1. 在 Windows 上安装 OpenSSL

在 Windows 上安装 OpenSSL 涉及几个关键步骤，包括安装先决条件和配置环境变量。

1.1 先决条件：Microsoft Visual C++ 可再发行组件

在安装 OpenSSL 之前，您必须安装 Microsoft Visual C++ 可再发行组件。OpenSSL 依赖这些库才能正常运行。

1. 下载： 访问 Microsoft 网站并下载适用于您的系统的相应 Visual C++ 可再发行组件包（例如，适用于现代 Windows 版本的 Visual Studio 2015-2022）。确保为 64 位系统下载 x64 版本。
2. 安装： 运行下载的安装程序并按照屏幕上的提示进行操作。

1.2 下载 OpenSSL 安装程序

在 Windows 上安装 OpenSSL 最简单的方法是使用预编译的二进制发行版。“Win32/Win64 OpenSSL Installation Project”由 Shining Light Productions 提供，是一个受欢迎的选择。

1. 访问网站： 前往 Shining Light Productions 网站 (slproweb.com/products/Win32OpenSSL.html)。
2. 选择版本： 下载与您的 Windows 架构匹配的最新“Light”版本 OpenSSL 安装程序（例如，适用于 64 位系统的 Win64OpenSSL-Light-x.x.x.exe）。“Light”版本通常足以满足大多数用户。

1.3 运行安装程序

1. 以管理员身份运行： 找到下载的安装程序，右键单击它，然后选择“以管理员身份运行”。
2. 遵循提示：
   • 接受许可协议。
   • 当提示安装目录时，建议将其安装在 Windows 目录之外，例如 C:\Program Files\OpenSSL-Win64（对于 64 位）或 C:\OpenSSL-Win64，以避免权限问题。
   • 选择将 OpenSSL DLL 复制到“OpenSSL binaries (/bin) directory”或“Windows system directory”。保留默认值（Windows 系统目录）通常没问题，但一些指南建议使用 /bin 目录。
   • 完成安装。

1.4 配置环境变量

安装后，您需要配置系统环境变量，以便 Windows 可以找到 OpenSSL 命令。

1. 打开环境变量：
   • 右键单击“此电脑”（或“计算机”）并选择“属性”。
   • 单击“高级系统设置”。
   • 单击“环境变量…”按钮。
2. 编辑 ‘Path’ 变量：
   • 在“系统变量”部分，找到并选择 Path 变量，然后单击“编辑”。
   • 单击“新建”并添加 OpenSSL bin 目录的路径（例如，C:\Program Files\OpenSSL-Win64\bin 或 C:\OpenSSL-Win64\bin）。
   • 在所有窗口上单击“确定”以保存更改。
3. 设置 ‘OPENSSL_CONF’ 变量：
   • 在“系统变量”部分，单击“新建…”以创建新的系统变量。
   • 将“变量名”设置为 OPENSSL_CONF。
   • 将“变量值”设置为 openssl.cfg 文件的路径（例如，C:\Program Files\OpenSSL-Win64\bin\openssl.cfg 或 C:\OpenSSL-Win64\bin\openssl.cfg）。
   • 在所有窗口上单击“确定”。

1.5 验证安装

1. 打开新的命令提示符： 关闭任何现有的命令提示符窗口，然后打开一个新窗口。这确保加载了新的环境变量。
2. 测试 OpenSSL： 键入 openssl version 并按 Enter。
   • 如果安装成功，您应该会看到 OpenSSL 版本信息（例如，“OpenSSL 3.x.x”）。
   • 如果出现“command not recognized”之类的错误，请仔细检查您的 Path 环境变量。

2. 基本 OpenSSL 命令

安装 OpenSSL 后，您可以开始将其用于加密任务。最好为证书文件创建一个专用目录。

2.1 生成私钥

私钥是用于加密和解密数据的密钥。它是创建 CSR 和证书的基础。

bash
openssl genrsa -out privatekey.key 2048

• genrsa：生成 RSA 私钥。
• -out privatekey.key：指定私钥的输出文件名。
• 2048：将密钥长度设置为 2048 位，这是常见且安全的长度。您可以使用 4096 来增强加密强度。

2.2 生成证书签名请求 (CSR)

CSR 是发送给证书颁发机构 (CA) 以获取 SSL/TLS 证书的请求。它包含您的公钥和身份信息。

bash
openssl req -new -key privatekey.key -out CSR.csr

• req：指定您正在创建证书请求。
• -new：表示要生成新的证书请求。
• -key privatekey.key：指定用于签署 CSR 的私钥。
• -out CSR.csr：指定 CSR 的输出文件名。

系统将提示您输入信息。以下是一些重要的字段：

• 国家/地区名称（2 个字母代码）： 例如，US
• 州或省名称（全称）： 例如，California
• 地区名称（例如，城市）： 例如，San Francisco
• 组织名称（例如，公司）： 例如，My Company Inc.
• 组织单位名称（例如，部门）： 例如，IT Department（可选）
• 通用名称（例如，服务器 FQDN 或您的姓名）： 这很关键。对于 Web 服务器，它必须是服务器的完全限定域名 (FQDN)（例如，www.example.com 或 example.com）。对于通配符证书，请使用 *.example.com。
• 电子邮件地址： （可选）
• 质询密码： （可选，但如果设置，请记住它）
• 可选的公司名称： （可选）

2.3 生成自签名证书

自签名证书由您自己的私钥而不是受信任的 CA 签名。它对于测试、内部应用程序或不需要公共信任的开发环境很有用。

bash
openssl x509 -req -days 365 -in CSR.csr -signkey privatekey.key -out certificate.crt

• x509：指定 X.509 证书管理。
• -req：表示输入是 CSR。
• -days 365：将证书的有效期设置为 365 天。根据需要进行调整。
• -in CSR.csr：指定输入 CSR 文件。
• -signkey privatekey.key：指定用于签署证书的私钥。
• -out certificate.crt：指定自签名证书的输出文件名。

2.4 查看证书和 CSR 详细信息

您可以检查生成的 CSR 和证书文件的内容。

• 查看 CSR：
  bash
openssl req -in CSR.csr -text -noout
• 查看证书：
  bash
openssl x509 -in certificate.crt -text -noout
  • -text：以人类可读的文本格式显示证书。
  • -noout：防止输出证书的编码版本。

3. 常见问题故障排除

• ‘openssl’ 未被识别为内部或外部命令： 这是最常见的问题，表示 Path 环境变量未正确设置，或者设置后未打开新的命令提示符窗口。
  • 解决方案： 重新检查 Path 环境变量中 OpenSSL bin 目录的路径，并确保打开 新的 命令提示符窗口。
• 加载 openssl.cfg 错误： 这通常意味着 OPENSSL_CONF 环境变量未正确设置，或者 openssl.cfg 文件不在指定位置。
  • 解决方案： 验证 OPENSSL_CONF 变量指向 OpenSSL 安装目录中正确的 openssl.cfg 文件。

本教程涵盖了在 Windows 上开始使用 OpenSSL 的基本步骤。有关更高级的操作，请参阅 OpenSSL 文档或针对您的用例的特定指南。