linux下生成https的crt和key證書

今天在配置kibana許可權設定時，kibana要求使用https鏈結。

於是總結了一下linux下openssl生成簽名的步驟：

x509證書一般會用到三類文，key，csr，crt

key 是私用金鑰openssl格，通常是rsa演算法。

csr 是證書請求檔案，用於申請證書。在製作csr檔案的時，必須使用自己的私鑰來簽署申，還可以設定乙個金鑰。

crt是ca認證後的證書文，（windows下面的，其實是crt），簽署人用自己的key給你簽署的憑證。

1.key的生成

openssl genrsa -des3 -out server.key 2048

這樣是生成rsa私鑰，des3演算法，openssl格式，2048位強度。server.key是金鑰檔名。為了生成這樣的金鑰，需要乙個至少四位的密碼。可以通過以下方法生成沒有密碼的key:

openssl rsa -inserver.key -out server.key

server.key就是沒有密碼的版本了。

2. 生成ca的crt

openssl req -new -x509 -key server.key -out ca.crt -days 3650

生成的ca.crt檔案是用來簽署下面的server.csr檔案。

3. csr的生成方法

openssl req -new -key server.key -out server.csr

需要依次輸入國家，地區，組織，email。最重要的是有乙個common name，可以寫你的名字或者網域名稱。如果為了https申請，這個必須和網域名稱吻合，否則會引發瀏覽器警報。生成的csr檔案交給ca簽名後形成服務端自己的證書。

4. crt生成方法

csr檔案必須有ca的簽名才可形成證書，可將此檔案傳送到verisign等地方由它驗證，要交一大筆錢，何不自己做ca呢。

openssl x509 -req -days 3650 -inserver.csr -ca ca.crt -cakey server.key -cacreateserial -out server.crt

輸入key的金鑰後，完成證書生成。-ca選項指明用於被簽名的csr證書，-cakey選項指明用於簽名的金鑰，-caserial指明序列號檔案，而-cacreateserial指明檔案不存在時自動生成。

最後生成了私用金鑰：server.key和自己認證的ssl證書：server.crt

證書合併：

catserver.key server.crt > server.pem**