一.建立证书授权中心
1.检查是否已经安装openssl
#which openssl
/usr/bin/openssl
2.创建CA目录
#mkdir /usr/local/nginx/conf/ssl
3.生成私钥
#cd /usr/local/nginx/conf/ssl
#echo 01 | tee ca.srl
#openssl genrsa -des3 -out ca-key.pem
在创建私钥的过程中,我们需要为CA密钥设置一个秘密,我们要牢记这个秘密,并确保它的安全性。我们需要用这个密码来创建并对证书进行签名。
4.创建CA证书
#openssl req -new -x509 -days 365 -key ca-key.pem -out ca.pem
二.创建服务器的证书签名请求贺密钥
1.创建服务器密钥
#openssl genrsa -des3 -out server-key.pem
2.创建服务器CSR
#openssl req -new -key server-key.pem -out server.csr
注意:该项的值要么为服务器的FQDN(完全限定的域名)形式,要么为*,将允许在任何服务器上使用该服务器证书。
3.对CSR进行签名
#openssl x509 -req -days 365 -om server.csr -CA ca.pem -CAkey ca-key.pem -out server-cert.pem
三.创建客户端的证书签名请求贺密钥
1.创建客户端密钥
#openssl genrsa -des3 -out client-key.pem
2.创建客户端CSR
#openssl req -new -key client-key.pem -out client.csr
3.对CSR进行签名
#openssl x509 -req -days 365 -om client.csr -CA ca.pem -CAkey ca-key.pem -out client-cert.pem