openSSL生成證書
- 生成根證書
// Generate CA private key
openssl genrsa -out ca.key 2048
// Generate CSR
openssl req -new -key ca.key -out ca.csr -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA"
// Generate Self Signed certificate(CA 根證書)
openssl x509 -req -days 365 -in ca.csr -out ca.crt -signkey ca.key
- 使用根證書簽名用戶證書
// private key
openssl genrsa -out server.key 2048
// generate csr
openssl req -new -key server.key -out server.csr -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=ssl10.cdnpe.com"
// generate certificate
openssl x509 -req \
-in server.csr \
-out server.crt \
-CA ca.crt -CAkey ca.key -CAcreateserial -days 365
構造場景:
1、構造一個過期證書。調整系統時間
2、構造一個啟用日期在當前日期之后的證書。 調整系統時間
openSSL關聯多域名
1、生成私鑰ca.key
openssl genrsa -out ca.key 2048
2、用ca.key請求csr
openssl req -new -x509 -days 365 -key ca.key -subj "/C=CN/ST=GD/L=SZ/O=Acme, Inc./CN=Acme Root CA" -out ca.crt
3、關聯多個域名並生成crt證書(測試csr,無需操作以上步驟2,將生成的csr保存在csr格式的文件中,再使用該命令生成證書)
openssl x509 -req -extfile <(printf "subjectAltName=DNS:*.16tp.com,DNS:*.17tp.com") -days 365 -in bullet1.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out bullet1.crt
注明:設置關聯域名(subjectAltName=DNS:域名,DNS:域名,DNS:域名)
第三方機構頒發自簽名證書
第三方直接頒發自簽名證書:http://www.ssleye.com/self_sign.html
阿里雲CSR頒發自簽名證書:https://www.chinassl.net/ssltools/free-ssl.html
如何搭建CA頒發機構