一、生成根证书
1. 生成根私钥
openssl genpkey -algorithm RSA -out root.key
2. 生成自签名的根证书请求
openssl req -new -key root.key -out root.csr
Country Name (2 letter code) 两字母的国家代码,例如 “US”。
State or Province Name 州或省的全名。
Locality Name (e.g., city) 城市或地区的全名。
Organization Name (e.g., company) 公司或组织的全名。
Organizational Unit Name (e.g., section) 部门或单位的全名。
Common Name (e.g., your name or your server’s hostname) 通常是你的服务器的主机名。
Email Address 电子邮件地址,用于证书联系。
Challenge Password 挑战密码(可选)。
Optional Company Name 可选的公司名称。
3. 使用私钥签署自签名的根证书
openssl x509 -req -in root.csr -signkey root.key -out root.crt
二、服务器证书生成
1. 生成服务器私钥
openssl genpkey -algorithm RSA -out server.key
2. 生成服务器证书请求
openssl req -new -key server.key -out server.csr
3.新建一个文件ext.ini,写入以下内容:
basicConstraints = CA:FALSE
keyUsage = nonRepudiation, digitalSignature, keyEncipherment
subjectAltName = @alt_names
[alt_names]
DNS.1 = *.dyxmq.cn
DNS.2 = *.maqian.xin
4. 使用中间证书私钥签署服务器证书请求
openssl x509 -req -days 3650 -in server.csr -CA root.crt -CAkey root.key -CAcreateserial -out server.crt -extfile ext.ini
5. 验证服务器证书
openssl verify -CAfile root.crt server.crt
备注:注意系统时间问题。
openssl req -text -in server.csr -noout:这个命令使用 OpenSSL 工具来查看证书请求文件 server.csr 的详细信息
https://www.dyxmq.cn/network/create-self-sign-ca-and-certificate.html
https://blog.csdn.net/ARV000/article/details/134694724