1、将openssl.cnf配置文件拷贝到当前目录下并创建以下在配置文件中指定的子文件夹
mkdir demoCA
cd demoCA
index.txt为空,serial必须写入内容,且为字符串格式的数字(比如1000)
mkdir srl certs newcerts
touch index.txt serial
echo 1000 > serial
cd ..
sudo cp /usr/lib/ssl/openssl.cnf .
2、生成根证书
mkdir ca
a).生成根证书私钥(key文件)
openssl genrsa -aes256 -out ca/ca.key 2048
b).生成根证书签发申请文件(csr文件)
openssl req -new -key ca/ca.key -out ca/ca.csr -config ./openssl.cnf
c).自签发根证书(crt文件)
openssl x509 -req -days 3650 -sha1 -extensions v3_ca -signkey ca/ca.key -in ca/ca.csr -out ca/ca.crt
3、用根证书签发server端证书
mkdir server
a).生成根证书私钥(key文件)
openssl genrsa -aes256 -out server/server.key 2048
b).生成根证书签发申请文件(csr文件)
openssl req -new -key server/server.key -out server/server.csr -config ./openssl.cnf
c).使用根证书签发服务端证书
openssl ca -in server/server.csr -out server/server.crt -cert ca/ca.crt -keyfile ca/ca.key -config ./openssl.cnf
c).将密钥和证书合并成一个文件
cp server/server.key server/server.pem
生成私钥
cat server/server.crt >> server/server.pem
mkdir client
openssl genrsa -aes256 -out client/client.key 2048
openssl req -new -key client/client.key -out client/client.csr -config ./openssl.cnf
openssl ca -in client/client.csr -out client/client.crt -cert ca/ca.crt -keyfile ca/ca.key -config ./openssl.cnf
cp client/client.key client/client.pem
生成公钥
cat client/client.crt >> client/client.pem