本文参考自 https://zhidao.baidu.com/question/1886027584035566228.html
一般测试只使用server端的证书,实际需要通过第三方认证,本文仅是一种方式生成用于调试的证书
生成CA证书:
①制作root端:
openssl genrsa -des3 -out root.key
输入root.key密码
openssl req -new -key root.key -out root.csr
按照实际填写资料
生成10年(3650天)有效期的crt :openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey root.key -in root.csr -out root.crt
②创建server端:
openssl genrsa -des3 -out server.key 2048 (2048为加密强度)
创建时需要server.key密码,但是实际中有了密码会很不方便,所以用 openssl rsa -in server.key -out server.key 去除
创建2年有效期的crt : openssl x509 -req -days 730 -sha1 -extensions v3_req -CA root.crt -CAkey root.key -CAserial root.srl -CAcreateserial -in server.csr -out server.crt
③创建client端:
同服务端,将server命名更改为client即可
④证书合成:
若有需要,则对对应证书进行合成,server与client操作相同
合并:cat server.crt server.key > server.pem
合并成pfx证书:openssl pkcs12 -export -in server.crt -in key server.key -out server.pfx