用openssl创建数字证书

创建一个自签名的CA证书：

1，创建一个RSA私钥，4096位，用DES3算法保护：

openssl genrsa -des3 -out ca.key 4096

按要求输入所需信息

2，生成一个自签名的CA证书，有效期3650天：

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

ca.crt就是一个自签名的数字证书，可以作为我们自己的CA来使用。

创建一个用CA证书签发的数字证书：

1， 创建一个RSA私钥，4096位，无密码保护：

openssl genrsa -out server.key 4096

2，生成一个证书请求：

openssl req -new -key server.key -out server.csr

3，用CA证书来签发这个请求，有效期3650天，并得到证书：

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt

3a，也可以用 ca 命令结合config文件来签发证书，这应该是更正式的方法：

openssl ca -config openssl.cnf -in server.csr -out server.crt

可以看到，命令执行过程中提示签发证书并更新数据库文件(serial 和 index.txt)。

命令完成后，数据库文件得到更新。

server.crt就是由我们自己的CA签发的数字证书