使用 OpenSSL 创建ssl证书

---

Airflow官网地址: https://devopscube.com/create-self-signed-certificates-openssl/.

---

Community: https://www.digitalocean.com/community/tutorials/openssl-essentials-working-with-ssl-certificates-private-keys-and-csrs.

---

1. flow

                                    付费申请流程

                                    自签名证书流程

2. Common Method

• Key 是私用密钥openssl格，通常是rsa算法。
• Csr 是证书请求文件，用于申请证书。
• crt是CA认证后的证书文,签署人用自己的key给你签署的凭证。

2.1 CA根证书的生成

• Generate CA private key
  openssl genrsa -out ca.key 2048
• Generate CSR
  openssl req -new -key ca.key -out ca.csr
• Generate Self Signed certificate（CA 根证书）
  openssl x509 -req -days 750 -in ca.csr -signkey ca.key -out ca.crt

2.2 用户证书的生成

openssl genrsa -des3 -out server.key 1024 openssl genrsa -des3 -out server.key 1024
openssl req -new -key server.key -out server.csr
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key

2.3 客户端证书的生成

openssl genrsa -des3 -out client.key 1024
openssl req -new -key client.key -out client.csr
openssl ca -in client.csr -out client.crt -cert ca.crt -keyfile ca.key

2.4 pem证书的生成

cat client.crt client.key> client.pem
cat server.crt server.key > server.pem

---

• key的生成
  openssl genrsa -des3 -out server.key 2048
• 生成没有密码的key
  openssl rsa -in server.key -out server.key
• 生成生成CA的crt
  openssl req -new -x509 -key server.key -out ca.crt -days 3650
• 生成csr
  openssl req -new -key server.key -out server.csr
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey server.key -CAcreateserial -out server.crt

//CN改为自己的domain
openssl req -x509 \
            -sha256 -days 356 \
            -nodes \
            -newkey rsa:2048 \
            -subj "/CN=10.xxx.xx.xx/C=US/L=San Fransisco" \
            -keyout domain.key -out domain.crt