# openssl ecparam -out EccCA.key -name prime256v1 -genkey
# openssl req -config openssl.cnf -key EccCA.key -new -out EccCA.req
# openssl x509 -req -in EccCA.req -signkey EccCA.key -out EccCA.pem
# openssl ecparam -out EccSite.key -name prime256v1 -genkey
# openssl req -config openssl.cnf -key EccSite.key -new -out EccSite.req
# openssl x509 -req -in EccSite.req -CA EccCA.pem -CAkey EccCA.key -out EccSite.pem -CAcreateserial

生成幾張用戶證書，然後用openssl pkcs12命令生成p12格式證書文件，然後導入到firefox中。
生成證書時，ECC曲線選擇的是prime256v1。之前有選過prime192v1，好像firefox不認，改了種曲線就好了。
生成站點證書或用戶證書時，也可以用ECC根證書頒發RSA證書，測試一樣能通過。

將私鑰秘cer證書合並成p12格式

1）生成pkcs12文件，但不包含CA證書：

openssl pkcs12 -export -inkey ocspserverkey.pem -in ocspservercert.pem -out ocspserverpkcs12.pfx

2） 生成pcs12文件，包含CA證書：

openssl pkcs12 -export -inkey server.key -in server.crt -CAfile ca.crt -chain -out server.pfx

3） 將pcks12中的信息分離出來，寫入文件：

openssl pkcs12 –in ocsp1.pfx -out certandkey.pem

4） 顯示pkcs12信息：

openssl pkcs12 –in ocsp1.pfx -info

------------------------------------

附： 1、把cert1.pem轉換成.p12格式

openssl pkcs12 -export -in cert1.pem -inkey　cert1.key -certfile ca.pem -out cert1.p12

2、把cert1.pem轉換成.cer格式:只需把擴展名改為.cer即可.

使用openssl命令制作ecc證書