openssl生成.pem证书

测试发现openssl接口需要证书格式为.pem以下为生成方式。

前提：自己生成CA做证书签发（详细查看上一篇）

1.生成CAkey

  openssl genrsa -out cakey.pem 1024

  或者openssl genrsa -des3 -out cakey.pem 1024（需要密码）

2.生成CAcert

openssl req -new -x509 -key cakey.pem -out cacert.pem

3.生成serverKey

  openssl genrsa -out serverkey.pem 1024

或者openssl genrsa -des3 -out serverkey.pem 1024（需要密码）

（转换无密码key：openssl rsa -in serverkey.pem -out serverkey_nopass.pem）；

4.生成serverCSR

openssl req -new -key serverkey_nopass.pem -out servercsr.pem -config openssl.cnf

5.CA对serverCSR签名

openssl ca -in servercsr.pem -out server.pem -cert cacert.pem -keyfile cakey.pem -config openssl.cnf

注可能会出现：failed to update database

TXT_DB error number 2

产生的原因是:

This thing happens when certificates share common data. You cannot have two

certificates that look otherwise the same.

解决方法：将 common name设置成不同的

注颁发客户端流程同server类似。