1、生成CA私钥
1
|
openssl genrsa -out ca.key 2048 |
2、私钥CA证书
1
|
openssl req -x509 -new -nodes -key ca.key -subj "/CN=xxx.com" -days 5000 -out ca.crt |
3、生成服务私钥
1
|
openssl genrsa -out server.key 2048 |
4、服务私钥证书
1 2 |
#这里的/cn可以是必须添加的 是服务端的域名 或者是etc/hosts中的ip别名 openssl req -new -key server.key -subj "/CN=server" -out server.csr |
5、对服务证书进行签发
1
|
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000 |
6、查询所生成证书的信息
1
|
openssl x509 -noout -text -in ./server.crt |
7、生存Client端证书
1 2 3 4 5 6 7 |
openssl genrsa -out client.key 2048 openssl req -new -key client.key -subj "/CN=client" -out client.csr echo extendedKeyUsage=clientAuth > extfile.conf openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -extfile extfile.conf -out client.crt -days 5000 |