1.自签名RSA-PSS证书
openssl req -new -x509 -newkey rsa:2048 -sha256 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -nodes -keyout ca.key -out ca.crt
其中:rsa_pss_saltlen:-1 代表填充于hash等长
rsa_pss_saltlen: n(如200)为自定义长度
2.签发RSA-PSS证书
openssl x509 -req -in server.csr -sha512 -sigopt rsa_padding_mode:pss -sigopt rsa_pss_saltlen:-1 -CA ca.crt -CAkey ca.key -out server.crt
3.签发带扩展属性的证书
a、自签名根证书
-config /etc/pki/tls/openssl.cnf -exten
sions v4_ca
b、签发子证书
-extfile /etc/pki/tls/openssl.cnf -extensions v3_ca