创建私钥
1
2
# 生成2048大小的私钥
openssl genrsa -out private.key 2048
根据私钥创建公钥
1
openssl rsa -in private.key -out public.key -pubout
创建自签CA证书
1
2
3
# 生成自签CA证书(包含了公钥以及一些基本信息
# -x509表示生成自签证书,即不需要其他CA机构签证。
openssl req -new -x509 -key private.key -out root.cer -days 3650
创建受信任的CA证书
如果你想生成受信任的CA证书,你需要先创建CA证书请求文件:
1
openssl req -new -key private.key -out server.csr -days 3650
这过程中,需要填写一些基础信息,其中,最重要的就是common name,一般填入你的网站域名。
然后,CA机构根据你提供的.csr文件,生成由它认证的CA证书,当然,这一步是需要收费的(一本万利啊)。
1
2
3
4
5
# -cert ca.crt CA机构的自签CA证书
# -keyfile ca.key CA机构的密钥
# -in server.csr 请求文件
# -out server.crt CA机构认证后的CA证书
openssl ca -policy policy_anything -days 3650 -cert ca.cer -keyfile ca.key -in server.csr -out server.cer
查看CA证书的公钥信息
1
2
# -noout 表示不输出证书本身,只输出public.key。否则,会生成public.key + my.cer。
openssl x509 -outform PEM -in my.cer -pubkey -noout
这里输出的内容,与用私钥生成的公钥内容是一样的。
查看CA证书的信息
1
openssl x509 -in my.cer -noout -serial -subject