創建自己的證書頒發機構(CA)
即使是測試目的, 也會出現有多個站點需要自定義證書的情況, 不可能要求用戶每個站點裝一個 我們何不把自己添加成一個證書頒發機構(CA), 然后把這個證書裝給客戶端, 那么由這個CA頒發的證書都會被自動信任.
首先, 用同樣的語法創建一個證書, 我們把名字取明確一些, 就叫myCA吧(跟第一步生成普通證書是一樣一樣的, 只是這次我們把它理解成一個證書頒發機構)
openssl genrsa -out myCA.key 2048
openssl req -new -x509 -key myCA.key -out myCA.cer -days 36500
然后, 基於這個證書生成一個證書請求(CSR), (同樣, 先生成一個key, 要用key來請求)
openssl genrsa -out server.key 2048
openssl req -new -out server.req -key server.key -subj /CN=域名
注:
1. 一旦域名配置了, 用不同於這個域名的主機名來請求, 就會校驗失敗
2. 這里用到了上面說的-subj參數
最后, 通過服務器證書(我們理解的CA), 對這個簽發請求進行簽發
openssl x509 -req -in server.req -out server.cer -CAkey myCA.key -CA myCA.cer -days 36500 -CAcreateserial -CAserial serial