1.修改 openssl 配置文件
vi /etc/pki/tls/openssl.cnf
# match 表示后续生成的子证书的对应项必须和创建根证书时填的值一样,否则报错。以下配置只规定子证书的 countryName 必须和根证书一致。
[ policy_match ] 段配置改成如下:
countryName = match
stateOrProvinceName = optional
organizationName = optional
organizationalUnitName = optional
commonName = supplied
emailAddress = optional
2.在pki 的 CA 目录下新建两个文件
cd /etc/pki/CA && touch index.txt serial && echo 01 > serial
3.生成 CA 根证书密钥
cd /etc/pki/CA/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem
4.生成根证书(根据提示输入信息,除了 Country Name 选项需要记住的,后面的随便填)
openssl req -new -x509 -key private/cakey.pem -out cacert.pem
5.生成密钥文件
openssl genrsa -out nginx.key 2048
6.生成证书请求文件(CSR)
A. 根据提示输入信息,除了 Country Name 与前面根证书一致外,其他随便填写
B. Common Name 填写要保护的域名,比如:*.qhh.me
openssl req -new -key nginx.key -out nginx.csr
7.使用 openssl 签署 CSR 请求,生成证书
openssl ca -in nginx.csr -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -days 36500 -out nginx.crt
参数项说明:
-in: CSR 请求文件
-cert: 用于签发的根 CA 证书
-keyfile: 根 CA 的私钥文件
-days: 生成的证书的有效天数
-out: 生成证书的文件名
8.将nginx.key转成.pk8格式
openssl pkcs8 -in nginx.key -topk8 -outform DER -out nginx.pk8 -nocrypt
9.将nginx.crt转换成x509.pem
openssl x509 -inform pem -in nginx.crt -out nginx.x509.pem
10.签名apk
java -Xmx2048m -Djava.library.path="Android9.0/LINUX/android/prebuilts/sdk/tools/linux/lib64" -jar signapk.jar nginx.x509.pem nginx.pk8 app-release.apk new.apk
参考文章https://blog.csdn.net/qianghaohao/article/details/90314163