首先做以下准備工作
1、找一個位置創建一個臨時使用的文件夾,比如叫demossl。
2、首找到openssl配置文件openssl.cnf,運行openssl version -a命令
openssl.cnf文件就位於OPENSSLDIR對應的目錄下,拷貝一份openssl.cnf到第一步中創建的demossl文件夾里面。
3、對拷貝的openssl.cnf做以下修改:
[ CA_default ]
dir = ./CA
# 確保req下存在以下2行(默認第一行是有的,第2行被注釋了)
[ req ]
distinguished_name = req_distinguished_name
req_extensions = v3_req
# 確保req_distinguished_name下沒有 0.xxx 的標簽,有的話把0.xxx的0. 去掉
[ req_distinguished_name ]
countryName = Country Name (2 letter code)
countryName_default = CN
stateOrProvinceName = State or Province Name (full name)
stateOrProvinceName_default = ShangHai
localityName = Locality Name (eg, city)
localityName_default = ShangHai
organizationalUnitName = Organizational Unit Name (eg, section)
organizationalUnitName_default = Domain Control Validated
commonName = Internet Widgits Ltd
commonName_max = 64
# 新增最后一行內容 subjectAltName = @alt_names(前2行默認存在)
[ v3_req ]
# Extensions to add to a certificate request
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
# 新增 alt_names,注意括號前后的空格,DNS.x 的數量可以自己加
[ alt_names ]
DNS.1 = abc.example.com
DNS.2 = dfe.example.org
DNS.3 = ex.abcexpale.net
4、openssl.cnf中會要求部分文件及目錄存在,在demossl目錄下執行以下命令:
[root@localhost]#mkdir -p CA/{certs,crl,newcerts,private}
[root@localhost]# touch CA/index.txt
[root@localhost]#echo 00 > CA/serial
然后使用openssl命令生成證書
在demossl目錄下執行以下操作:
1.生成ca.key並自簽署,生成根證書ca.crt
openssl req -new -x509 -days 3650 -keyout ca.key -out ca.crt -config openssl.cnf
2.生成server.key(名字不重要)
openssl genrsa -out server.key 2048
3.生成證書簽名請求
openssl req -new -key server.key -out server.csr -config openssl.cnf
Common Name 這個寫主要域名就好了(注意:這個域名也要在openssl.cnf的DNS.x里)
4.使用自簽署的CA,簽署server.csr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -extensions v3_req -config openssl.cnf
#輸入第一步設置的密碼,一直按y就可以了
server.crt server.key就是web服務器中使用的文件;ca.crt為根證書,導入瀏覽器證書中可讓瀏覽器信任網站。