在Linux或MacOS下运行,需要安装openssl
1. 生成CA私钥:
openssl genrsa -out ca.key 2048
此命令将生成用于证书颁发机构(CA)的2048位RSA私钥。私钥应妥善保管,因为它用于签名证书。
2. 生成CA证书:
openssl req -new -x509 -key ca.key -out ca.crt -days 365 -subj "/C=US/ST=California/L=San Francisco/O=My Company/OU=IT Department/CN=My CA"
此命令将生成具有指定主题信息的自签名CA证书。days参数将证书的有效期设置为365天(一年)。
4. 生成服务器私钥:
openssl genrsa -out server.key 2048
此命令将生成用于服务器的2048位RSA私钥。私钥应妥善保管,因为它用于解密客户端发送的加密数据。
5. 生成服务器证书签名请求(CSR):
openssl req -new -key server.key -out server.csr -subj "/C=US/ST=California/L=San Francisco/O=My Company/OU=IT Department/CN=127.0.0.1"
此命令将为服务器生成证书签名请求(CSR)。subj参数指定服务器证书的主题信息。
6. 使用CA证书签署服务器证书:
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365
此命令使用CA证书签署服务器CSR,创建最终的服务器证书。days参数将服务器证书的有效期设置为365天(一年)。
7. 验证证书:
openssl verify -CAfile ca.crt server.crt
8. 查看证书
openssl x509 -in server.crt -text -noout