openssl生成ssl证书及向申请CA流程

生成key

openssl genrsa -des3 -out prvtkey.pem 2048 
或者无密码保护的
openssl genrsa -out prvtkey.pem 2048

生成.csr(用这个向数字证书颁发机构（即CA）申请一个数字证书)

openssl req -new -key prvtkey.pem -out cert.csr

然后填写信息，注意Common Name (eg, your websites domain name)，要填写网站域名,如:pay.abc.com

生成的.csr文件是否规范可以在这检测：
https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp

然后向CA申请数字证书，再用CA给的cacert.pem替换原来的prvtkey.pem

自建CA

http://www.cnblogs.com/AloneSword/p/3809002.html