自建CA生成SSL证书-单向认证

查看/etc/pki/tls/openssl.cnf中dir的位置，默认为 /etc/pki/CA/，可以根据自己的需求修改或直接使用默认，这里以不修改路径为例，切换到/etc/pki/CA/目录下，下面的操作都以该目录为基础目录进行操作。

Ubuntu系统openssl.cnf配置文件的路径为/etc/ssl/ 修改openssl.cnf中的这两个天数，尽量改大一点，不然生成的证书默认只有30天有效期

default_days	= 3650			# how long to certify for
default_crl_days= 3650			# how long before next CRL

mkdir private newcerts

# 创建CA证书
## 创建CA私钥
openssl genrsa -out private/cakey.pem 2048

## 用CA私钥生成请求文件
openssl req -days 3650 -new -key private/cakey.pem -out private/cacsr.pem

## CA签署证书
openssl x509 -req -days 3650 -in private/cacsr.pem -signkey private/cakey.pem \
-out cacert.pem

# 创建服务证书（用于nginx上配置）
## 创建服务端用的私钥文件
openssl genrsa -out newcerts/server-key.pem 2048

## 用服务端私钥文件生成请求文件server-csr.pem
## 生成服务器证书(openssl) hostname配置为nginx SSL证书的域名。
openssl req -days 3650 -new -out newcerts/server-csr.pem -key newcerts/server-key.pem 

## 签署服务端用的证书文件server-cert.pem
openssl x509 -req -in newcerts/server-csr.pem -out newcerts/server-cert.pem \
-CA cacert.pem -CAkey private/cakey.pem -CAcreateserial -days 3650

上一页浏览器默认非安全端口下一页自建CA证书实现SSL证书-双向认证

最后更新于1年前