openssl 生成CA及相关证书

生成私钥文件(pem)

# 生成私钥
# genrsa：生成RSA秘钥
# 2048：密钥长度为2048比特
# -out：私钥文件路径名
openssl genrsa -out ca_private.pem 2048
# 生成私钥，且加密
# -aes256：使用aes256对私钥进行加密
openssl genrsa -aes256 -out ca_private.pem 2048

生成根证书签发申请文件（csr）

# req：证书签发请求命令
# -new：是 req 子命令的选项之一，表示创建一个新的 CSR。
# -key：指定私钥文件。
# -out：输出文件路径名
openssl req -new -key ca_private.pem -out ca_csr.pem

签发x509证书

未指定签发者(CA)证书（自签名）

# x509：证书格式为X.509
# -req：证书签发请求命令
# -days：证书有效期（天）
# -sha1：证书摘要签名算法
# -signkey：签名使用的私钥文件
# -in：证书签发申请文件（csr文件）
# -out：输出文件路径名
openssl x509 -req -days 365 -sha1 -signkey ca_private.pem -in ca_csr.pem -out ca_x509.cer

指定CA签发证书

# -CA：CA机构自己的证书（也可以是多级签发时的中间CA）
# -CAkey：CA机构的私钥
# -CAcreateserial：创建证书序列号文件。该序列号在经由CA颁发的证书中是全局唯一的，可以唯一标识一个证书；创建的序列号文件默认名称为“CA证书名.srl”
openssl x509 -req -days 365 -sha1  -CA ../ca/ca_x509.cer -CAkey ../ca/ca_private.pem -in server_csr.pem -CAcreateserial -out
server_x509.cer

验证证书

openssl verify -CAfile ./ca/ca_x509.cer ./server/server_x509.cer

查看证书详细信息

openssl x509 -in ./server/server_x509.cer -noout -text

相关参考

如何制作自签名证书