1、桌面创建"SSL"文件夹,用来存放申请证书过程中的所有文件。
2、打开"终端"并进入到"桌面->SSL"。
3、管理员权限(命令:sudo su)。
这个命令超级重要!重要!重要!没有在管理员权限下执行下面的操作,即使你可以完成前面几步,也会在最后一步卡住报错!!!!
sudo su
4、创建rootCA.key(命令:openssl genrsa -des3 -out rootCA.key 2048)。
创建时需要输入一个密码,这个密码要记住,下一步有用。
openssl genrsa -des3 -out rootCA.key 2048
5、使用rootCA.key创建rootCA.pem(命令:openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem)
创建时需要输入rootCA.key的密码。
其他信息可以随意填写。
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 3650 -out rootCA.pem
6、双击rootCA.pem证书。在钥匙串中双击,并修改为"始终信任"该证书
7、创建v3.ext文件(命令:touch v3.ext)
touch v3.ext
8、编辑v3.ext文件(命令:sudo vim v3.ext)
sudo vim v3.ext
将下列文字复制粘贴进去
注意最后一行,(DNS.1 = xxxxxxx)
这一行可以输入域名或IP。
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage=digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName=@alt_names
[alt_names]
DNS.1 = 192.168.188.235
9、创建server.csr和server.key(命令:openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key)
这里要注意倒数第二项,必须填自己的IP地址或域名,如果IP为动态获取的,建议先改成固定IP。
openssl req -new -sha256 -nodes -out server.csr -newkey rsa:2048 -keyout server.key
10、创建server.crt(命令:openssl x509 -req -in server.csr -CA [rootCA.pem路径] -CAkey [rootCA.key路径] -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext)
去掉中括号,把对应文件路径写进去。
如果你报了“Error opening CA Certificate”这个错误,请先检查路径是否正确,如果正确请检查是否执行了第三步,我就卡在这卡了一晚上~
如果一切正常会让你输入密码,输入完成后就会生成server.crt!!
openssl x509 -req -in server.csr -CA [rootCA.pem路径] -CAkey [rootCA.key路径] -CAcreateserial -out server.crt -days 500 -sha256 -extfile v3.ext
最后查看SSL文件夹
忙活一晚上就是为了这个~
明天有时间的话会更新服务器部署SSL证书,敬请期待哦~