前期准备：
ssl证书生成一般可以通过2种工具：java环境下的keytool和openssl 但是大部分使用的都是openssl网上的命令文档也是以openssl居多，下面以openssl举例;
penSSL 是一个安全套接字层密码库，囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议，并提供丰富的应用程序供测试或其它目的使用。
单独下载openssl的话需要配置环境，这点可以自行百度进行配置！
我这边因为还需要配置phpsudy服务器而phpstudy自带有openssl工具所以我就没有去单独下载，后面也是以phpstudy自带的openssl为例说明：
phpstudy本地路劲：

PHPStudy\PHPTutorial\Apache\bin\openssl

openssl genrsa -des3 -out ca.key 2048

使用的时候则把openssl指向自己本地路劲的位置即可：

F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -des3 -out ca.key 2048

下面则直接使用正常命令，路劲手动替换一下即可：
win系统下新建一个文件夹用系统管理员打开windows.powershell界面：

快速打开windows.powershell

image.png

开始正式生成证书：
1.CA私钥: ca.key

openssl genrsa -out ca.key 1024

CA私钥: ca.key

2.创建根证书请求文件ca.csr:

openssl req -new -out ca.csr -key ca.key.key

这里需要填入配置信息：

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名（尽量用服务器域名，不然会引起服务器警告）
Email Address []:   邮箱地址(不填直接回车)
A challenge password []:123456 密码
An optional company name []:gs  公司名

ca.csr

3.自签根证书ca.cer：

openssl x509 -req -in ca.csr -out ca.cer -signkey ca.key -CAcreateserial -days 3650

ca.cer

4.生成p12格式根证书ca.p12(密码填写123456,之前ca.csr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)

openssl pkcs12 -export -clcerts -in ca.cer -inkey ca.key -out ca.p12

ca.p12

5.生成服务端key server.key:

F:\PHPStudy\PHPTutorial\Apache\bin\openssl genrsa -out server.key 1024

server.key

6.生成服务端请求文件 server.csr

openssl req -new -out server.csr -key server.key

填入证书配置信息：

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:test.com  域名（尽量用服务器域名，不然会引起服务器警告）
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs  公司名

server.csr

7.生成服务端证书server.cer（ca.cer，ca.key，servr.key，server.csr这4个生成服务端证书）:

openssl x509 -req -in server.csr -out server.cer -signkey server.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650

server.cer

8.生成客户端key client.key:

openssl genrsa -out client.key 1024

image.png

9.生成客户端请求文件client.csr:

openssl req -new -out client.csr -key client.key

填入证书配置信息:

Country Name (2 letter code) [AU]:cn 国家名(2个字母的代号)
State or Province Name (full name) [Some-State]:cq 省
Locality Name (eg, city) []:cq 市
Organization Name (eg, company) [Internet Widgits Pty Ltd]:gs 公司名
Organizational Unit Name (eg, section) []:gs  组织或部门名
Common Name (eg, YOUR name) []:tyl  签发机构\开发者人员（这里随意）
Email Address []:   邮箱地址
A challenge password []:123456 密码
An optional company name []:gs  公司名

client.csr

10.生成客户端证书 client.cer:

openssl x509 -req -in client.csr -out client.cer -signkey client.key -CA ca.cer -CAkey ca.key -CAcreateserial -days 3650

client.cer

11.生成客户端p12格式根证书client.p12(密码设置123456)：

openssl pkcs12 -export -clcerts -in client.cer -inkey client.key -out client.p12

client.p12

image.png

server {
        listen      443 ssl;      #http的端口号是80，https的端口为443
        server_name  www.test.com #服务器域名 配置多个时不要添加;号即可
    ServerName 127.0.0.1
    ServerName 192.168.0.111;
    ssl on;   #开启ssl


    ssl_certificate C:\Users\Administrator\Desktop\ssl4\server.cer;     #服务器证书文件
    ssl_certificate_key C:\Users\Administrator\Desktop\ssl4\server.key; #服务器证书密匙
    ssl_client_certificate C:\Users\Administrator\Desktop\ssl4\ca.cer;  #根证书
    ssl_verify_depth 1;
    ssl_verify_client on; #开启客户端验证

  location / {
            root   F:\PHPStudy\PHPTutorial\WWW;   #本地网站文件目录
            index  index.HTML index.html index.htm ;
        }       
        }

小建议：
制作的时候有的命令可以自行修改的，如证书名称等。
可自建一个txt文本，把openssl命令复制进去后再进行修改好后，才复制到windows powershell界面中执行
注意：
windows powershell执行openssl命令不能有错误提示，认真比对一下证书生成过后的提示，哪怕是警告也可能造成证书是失效的！我就踩过不少的坑，有的错误可以自行百度错误提示解决！

各类知识点整理：

• android https双向验证 前言及总结：https://www.jianshu.com/p/07ce321d80ab
• 单双向验证基础知识点： https://www.jianshu.com/p/ea5f4b1d9c00
• phpstudy搭建本地服务器： https://www.jianshu.com/p/bbf853fc28f3
• 浏览器获取证书文件（p12转cer）：https://www.jianshu.com/p/7f74acab6c74
• android okhttps双向验证(代码实现)：https://www.jianshu.com/p/6229d10d3550
• android webView的双向验证：https://www.jianshu.com/p/e98119d04fd9
• 配置完成后的测试：https://www.jianshu.com/p/cfcf708a591a
• Glide okhttps证书验证全局配置:https://www.jianshu.com/p/ac0b5c5f3ca7

工具类：

• P12证书转BKS证书：https://www.jianshu.com/p/2a96c36b27fe
• 服务器网址检测（兼容性及协议检测）：https://www.ssllabs.com/index.html

源码：

• github：https://github.com/fs437563/android_https