本操作是在linux系統命令下完成:
生成證書步驟:
第一步:生成ca的私鑰
[root@localhost ~]# openssl genrsa -out ca.key 1024
注意: 1024 為 秘鑰生成長度,可根據生成公私鑰進行調整
第二步:生產ca 證書
[root@localhost ~]# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt
注意:生成過程中 orgniziation 會顯示為“頒發者”信息,common name 為“頒發給” 信息,ca的頒發者和頒發給一般為同一個。
注意:3650 為證書有效期,可根據實際情況進行調整
第三步:將原來的私鑰保存成server.key .文件內容格式必須正常pem 私鑰文件格式,若是格式錯誤,可先生成一個私鑰文件,按照私鑰文件調整格式
生成證書請求文件 openssl req -new -out server.csr -key server.key
- [root@localhost ~]# touch /etc/pki/CA/index.txt(若是第一次簽發證書才需要執行)
- [root@localhost ~]# touch /etc/pki/CA/serial (若是第一次簽發證書才需要執行)
- [root@localhost ~]# echo "01" >> /etc/pki/CA/serial (01是證書序列號,可以任意字符串,並且每個證書的序列號必須唯一)
第四步 [root@localhost ~]# openssl ca -in server.csr -out server.crt -cert ca.crt -days 3650 -keyfile ca.key
簽署證書,生成server.crt
其中 ,生成完成后server.crt 為公鑰證書 \ca.crt 為根證書
注意:
1)生成ca.crt 和 server.csr的common name最好不要相同
2)生成過程中 orgniziationName 與ca.crt生成過程中的名字相同