1、环境准备
    1.1    向设备添加动态库文件(用于支持openssl生成证书请求文件):
            libssl.so.6、libgssapi_krb5.so.2、libkrb5.so.3、libcom_err.so.2、
            libk5crypto.so.3、libresolv.so.2、libkrb5support.so.0、
    1.2    创建所需结点:
            mknod /dev/random    c 1 8
            mknod /dev/urandom c 1 9
    1.3    放置生成证书的工具:
            在设备上根目录新建文件夹/path/to : mkdir -p /path/to
            将openssl-bin.tar.bz2 解压到设备/path/to目录下,并给/path/to/openssl/bin目录下的文件赋予可执行权限。
2、制作需CA(Certificate Authority)签署证书
    2.1、生成私钥
            进入/path/to/openssl/bin目录下,执行
            方式一:./openssl genrsa -des3 1024 >server.key
      注:采用DES3加密新产生的私钥server.key文件,每次要使用这个私钥时都要用输入密码。如果您的电子证书是用在apache等服务器中,您每次启动服务器时都要输入密码一次。
            方式二:./openssl genrsa 1024 >server.key
      注:采用128位rsa算法生成密钥server.key文件,这种方法产生的证书在apache等服务器中启动服务器时不会要求输入密码,同时也不会把私钥加密。
            我们采用方式二生成私钥。
    2.2    生成证书请求文件(Certificate Signing Request)
            ./openssl req -new -key server.key > server.csr
      注:这是用步骤1的密钥生成证书请求文件server.csr, 这一步输入内容和创建自签名证书的内容类似,按要求输入就可以了。
   
    2.3    签署生成CA证书
            您只要把server.csr这个档案给第三方CA(Certificate Authority)机构签署生成证书就可以了。
   
    2.4    自己做CA证书,生成证书ca.crt和私钥ca.key
        2.4.1    在当前目录下创建如下文件和文件夹:
                        生成证书时,不仅需要ca.key和ca.crt,还需要读配置文件/path/to/openssl/f,所以必须要按照/usr/share/ssl/opensslf罩的设置,建
立起各层目录
                        mkdir demoCA
                        mkdir demoCA/newcerts免费ssl证书永久生成
                        mkdir demoCA/private
                        cat /dev/null >            (确保创建的大小为0,不然执行以后的命令会报错)
                        echo "01" >> demoCA/serial
        2.4.2    然后执行命令
                    ./openssl req -days 3650 -new -x509 -keyout ca.key -
                        用生成的CA的证书和CA私钥(ca.crt,ca.key)为刚才生成的server.csr文件签名,从而生成服务器证书
                    ./openssl ca -in server.csr - - -keyfile ca.key -config /path/to/openssl/ssl/opensslf
   
    2.5    放置生成的CA证书
            执行完以上步骤后,会生成和server.key.
            将这两个文件分别复制到apache安装目录中的和conf/ssl.key目录中。