使用OpenSSL生成CSR文件，并申请全球通用SSL证书

http://www.openssl.org 上只有OpenSSL的原代码下载，为了方便Windows用户使用OpenSSL，我们特地为您准备了OpenSSL 0.9.8.a for win32的可执行版本(binary版)

下载地址是： http://www.myssl.cn/download/OpenSSL_0.9.8.a_Win32.zip

你也可以使用 OpenSSL CSR在线生成器： http://www.myssl.cn/openssl/createcsr.asp (注意：您必须同时保存.key和.csr文件)

如果你要生成CSR文件，并申请证书，请下载后：

第一步：解压缩到 c:\openssl 目录下，然后执行 cmd.exe 进入命令窗口，执行：
  cd c:\openssl
  set OPENSSL_CONF=openssl.cnf
  openssl req -new -nodes -keyout server.key -out server.csr

于是当前目录下将产生两个文件：server.key 和 server.csr。请妥善保存这两个文件，请不要泄露server.key私钥文件。
在这一命令执行的过程中，系统会要求您填写如下信息：

Country Name (2 letter code):使用国际标准组织(ISO)国码格式，填写2个字母的国家代号。中国请填写CN。

State or Province Name (full name): 省份，比如填写Shanghai

Locality Name (eg, city): 城市，比如填写Shanghai

Organization Name (eg, company): 组织单位，比如填写公司名的拼音

Organizational Unit Name (eg, section): 比如填写IT Dept

Common Name (eg, your websites domain name): 行使 SSL 加密的网站地址。请注意这里并不是单指您的域名，而是直接使用 SSL 的网站名称 例如:pay.abc.com。 一个网站这里定义是：abc.com 是一个网站； www.abc.com 是另外一个网站； pay.abc.com 又是另外一个网站。 注意：这个服务器域名应该和邮件客户端软件设置的SMTP/POP3服务器名称一致。

Email Address: 邮件地址，可以不填

A challenge password: 可以不填

An optional company name:可以不填

第二步：为确认您对所申请的SSL服务器域名拥有管理权，认证系统将发电子邮件到指定的管理员邮箱中。 例如：您准备申请的SSL证书服务器域名为host.yourdomain.com，在递交申请时，请确认您可以接收 ssladmin@yourdomain.com  或者 ssladmin@host.yourdomain.com

第三步：到www.myssl.cn 申请SSL证书，地址是 http://www.myssl.cn/product/index.asp ，递交第三步产生的server.csr，并输入申请的相关信息

第四步：你将收到一份来自美国Geotrust的申请确认邮件，点击邮件中的URL，然后Approve你的申请

第五步：你将收到包含证书的邮件，将邮件中“-----BEGIN CERTIFICATE-----”到“-----END CERTIFICATE-----” 部分复制到notepad.exe中，然后用保存为server.crt

第六步：将第一步产生的server.key和第五步产生的server.crt，是一对证书和密钥。请按照服务器说明安装证书。

如果，你准备在IIS上使用OpenSSL产生的证书，需要将.key和.crt文件合并为.pfx文件，方式如下：

请执行 cmd.exe 进入命令窗口，执行：
  cd c:\openssl
  set OPENSSL_CONF=openssl.cnf
  openssl pkcs12 -export -out server.pfx -inkey server.key -in server.crt

在IIS 6中，导入server.pfx 文件就可以了。