自建CA，并给服务器颁发证书，将该证书安装至浏览器

一.目标：

自建CA，并给服务器颁发证书，将该证书安装至浏览器。

二.步骤：

1.生成CA 密钥对和自签名证书：

使用 OpenSSL 工具生成 CA 密钥对和自签名证书：

openssl genpkey -algorithm RSA -out ca.key  
openssl req -new -x509 -key ca.key -out ca.crt

（1）生成一个新的 RSA 密钥对并将其保存在 ca.key 文件中。

（2）使用该密钥对生成自签名证书并将其保存在 ca.crt 文件中。

ca.crt中的内容：

2.创建服务器密钥对和证书签名请求（CSR）

为要部署证书的服务器生成密钥对，并使用该密钥对创建一个证书签名请求：

openssl genpkey -algorithm RSA -out server.key
openssl req -new -key server.key -out server.csr

（1）生成一个新的 RSA 密钥对并将其保存在 server.key 文件中。

（2）使用该密钥对创建一个证书签名请求（CSR）并将其保存在 server.csr 文件中。

server.csr中的信息：

3.签署服务器证书

使用 CA 证书签署服务器证书请求：

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

这将使用 CA 证书签署服务器证书请求，并将签名证书保存在 server.crt 文件中。

server.crt中的内容：

4.安装 CA 证书

在客户端浏览器中安装 CA 证书。这样，浏览器就可以信任您的自建 CA，从而信任您颁发的证书。

5.在火狐浏览器中查看该证书