本操作是在linux系统命令下完成:
生成证书步骤:
第一步:生成ca的私钥
[root@localhost ~]# openssl genrsa -out ca.key 1024
注意: 1024 为 秘钥生成长度,可根据生成公私钥进行调整
第二步:生产ca 证书
[root@localhost ~]# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
注意:生成过程中 orgniziation 会显示为“颁发者”信息,common name 为“颁发给” 信息,ca的颁发者和颁发给一般为同一个。
注意:3650 为证书有效期,可根据实际情况进行调整
第三步:将原来的私钥保存成server.key .文件内容格式必须正常pem 私钥文件格式,若是格式错误,可先生成一个私钥文件,按照私钥文件调整格式
生成证书请求文件 openssl req -new -out server.csr -key server.key
- [root@localhost ~]# touch /etc/pki/CA/index.txt(若是第一次签发证书才需要执行)
- [root@localhost ~]# touch /etc/pki/CA/serial (若是第一次签发证书才需要执行)
- [root@localhost ~]# echo "01" >> /etc/pki/CA/serial (01是证书序列号,可以任意字符串,并且每个证书的序列号必须唯一)
第四步 [root@localhost ~]# openssl ca -in server.csr -out server.crt -cert ca.crt -days 3650 -keyfile ca.key
签署证书,生成server.crt
其中 ,生成完成后server.crt 为公钥证书 \ca.crt 为根证书
注意:
1)生成ca.crt 和 server.csr的common name最好不要相同
2)生成过程中 orgniziationName 与ca.crt生成过程中的名字相同