SSL自签发

1、生成CA私钥

openssl genrsa -out ca.key 2048

2、私钥CA证书

openssl req -x509 -new -nodes -key ca.key -subj "/CN=xxx.com" -days 5000 -out ca.crt

3、生成服务私钥

openssl genrsa -out server.key 2048

4、服务私钥证书

#这里的/cn可以是必须添加的 是服务端的域名 或者是etc/hosts中的ip别名
openssl req -new -key server.key -subj "/CN=server" -out server.csr

5、对服务证书进行签发

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

6、查询所生成证书的信息

openssl x509  -noout -text -in ./server.crt

7、生存Client端证书

openssl genrsa -out client.key 2048

openssl req -new -key client.key -subj "/CN=client" -out client.csr

echo extendedKeyUsage=clientAuth > extfile.conf

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.conf -out client.crt -days 5000