自建CA生成SSL证书-单向认证
查看/etc/pki/tls/openssl.cnf中dir的位置,默认为 /etc/pki/CA/,可以根据自己的需求修改或直接使用默认,这里以不修改路径为例,切换到/etc/pki/CA/目录下,下面的操作都以该目录为基础目录进行操作。
Ubuntu系统openssl.cnf配置文件的路径为/etc/ssl/ 修改openssl.cnf中的这两个天数,尽量改大一点,不然生成的证书默认只有30天有效期
default_days = 3650 # how long to certify for
default_crl_days= 3650 # how long before next CRLmkdir private newcerts
# 创建CA证书
## 创建CA私钥
openssl genrsa -out private/cakey.pem 2048
## 用CA私钥生成请求文件
openssl req -days 3650 -new -key private/cakey.pem -out private/cacsr.pem
## CA签署证书
openssl x509 -req -days 3650 -in private/cacsr.pem -signkey private/cakey.pem \
-out cacert.pem
# 创建服务证书(用于nginx上配置)
## 创建服务端用的私钥文件
openssl genrsa -out newcerts/server-key.pem 2048
## 用服务端私钥文件生成请求文件server-csr.pem
## 生成服务器证书(openssl) hostname配置为nginx SSL证书的域名。
openssl req -days 3650 -new -out newcerts/server-csr.pem -key newcerts/server-key.pem
## 签署服务端用的证书文件server-cert.pem
openssl x509 -req -in newcerts/server-csr.pem -out newcerts/server-cert.pem \
-CA cacert.pem -CAkey private/cakey.pem -CAcreateserial -days 3650最后更新于