自己创建SSL证书的步骤
1 输入openssl命令,进入openssl
(1)开始生成CA证书
创建私钥:genrsa -out ca-key.pem 1024
创建证书请求:req -new -out ca-req.csr -key ca-key.pem -config /etc/ssl/openssl.cnf
自签署证书:x509 -req -in ca-req.csr -out ca-cert.pem -signkey ca-key.pem -days 365
执行完成之后会生成ca-cert.pem文件
(2)生成server证书
创建私钥: genrsa -out server-key.pem 1024
创建证书请求:req -new -out server-req.csr -key server-key.pem -config /etc/ssl/openssl.cnf
自签署证书:x509 -req -in server-req.csr -out server-cert.pem -signkey server-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365
执行完成生成server-cert.pem文件
(3)生成client证书,与服务器生成证书差不多
创建私钥:genrsa -out client-key.pem 1024
创建证书请求:req -new -out client-req.csr -key client-key.pem -config /etc/ssl/openssl.cnf
自签署证书:x509 -req -in client-req.csr -out client-cert.pem -signkey client-key.pem -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -days 365
到此CA证书、server证书、client证书全部生成完成,导入对应的服务器或客户端则可以正常使用了
在创建证书的时候,可能会报告错误:
problem creating object tsa_policy1=1.2.3.4.1 6812:error:08064066:object identifier routines:OBJ_create:oid exists
解决方法:
修改 /etc/ssl/openssl.cnf 把包含
tsa_policy
的行都注释掉,即可。