一、生成 CA 证书
1、生成 CA 的公私钥对。
openssl genrsa -out ca.key 1024
2、生成 CA 的自签名证书,签名使用的私钥为 ca.key 。
openssl req -new -x509 -days 36500 -key ca.key -out ca.crt
二、生成服务器端证书
1、生成 Server 的公私钥对。
openssl genrsa -out server.key 1024
2、指定私钥 server.key,生成证书请求文件 server.csr 。
openssl req -new -key server.key -out server.csr
3、用 CA 的私钥对 server 的 req 文件做签名,得到 server 的证书:
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt
三、指令解析
1、openssl genrsa
(1)用于生成 RSA 公私钥对文件。
(2)参数
-out filename:将生成的公私钥对保存至filename文件,若未指定输出文件,则为标准输出。
numbits:指定要生成的私钥的长度,默认为 1024。该项必须为命令行的最后一项参数。
-des:生成的密钥使用 des 方式进行加密。
-des3:生成的密钥使用 des3 方式进行加密。
2、openssl req
(1)生成证书请求文件、查看验证证书请求文件、生成自签名证书。
(2)参数
-new:说明生成证书请求文件。-x509:说明生成自签名证书,若不加该参数,则是生成证书请求文件。-key:指定已有的秘钥文件生成秘钥请求,只与生成证书请求选项 -new 配合。-newkey:-newkey 是与 -key 互斥的,-newkey 是指在生成证书请求或者自签名证书的时候自动生成密钥,然后生成的密钥名称由 -keyout 参数指定。当指定 newkey 选项时,后面指定 rsa:bits 说明产生rsa 密钥,位数由 bits 指定。 如果没有指定选项 -key 和 -newkey,默认自动生成秘钥。-out:-out 指定生成的证书请求或者自签名证书名称
(SAW:Game Over!)
如果觉得《用 openssl 生成 SSL 使用的私钥和证书 并自己做 CA 签名》对你有帮助,请点赞、收藏,并留下你的观点哦!