基礎環境
mkdirtest
cd test
mkdir -p ./ca/
touch ca/index.txt
touch ca/serial
touch ca/crlnumber
echo
01 > ca/serial
echo
01 > ca/crlnumber
cp /etc/pki/tls/openssl.cnf ./
# 修改dir為當前ca目錄
vim openssl.cnf
[ ca_default ]
dir = ./ca
# 增強型金鑰,客戶端身份認證
[ v3_req ]
keyusage = nonrepudiation,digitalsignature
extendedkeyusage = clientauth
生成ca證書
# 生成ca私鑰(umask 077;openssl genrsa -des3 -out ./ca/private/cakey.pem 2048)
# 生成ca證書生成使用者證書
# user私鑰(umask 077;openssl genrsa -out userkey.pem 2048)
# 簽署請求
openssl req -new -days 365 -key userkey.pem -out userreq.pem
-subj "/c=cn/st=gd/l=sz/o=organization/ou=dev/cn=organization.com/[email protected]"
# 生成user證書openssl ca -in userreq.pem -out usercert.pem -extensions v3_req -config openssl.cnf
# 生成pkcs12證書
openssl pkcs12 -export -inkey userkey.pem -in usercert.pem -out user.pfx
# rm ./ca/index.txt && touch ./ca/index.txt 重新生成user證書
吊銷使用者證書
# 吊銷user證書openssl ca -revoke usercert.pem -cert ./ca/cacert.pem -keyfile ./ca/private/cakey.pem
# 生成user證書吊銷列表
openssl ca -gencrl -out rootca.crl -cert ./ca/cacert.pem -keyfile ./ca/private/cakey.pem -config openssl.cnf
openssl生成CA證書
首先要有乙個ca根證書,然後用ca根證書來簽發使用者證書。使用者進行證書申請 一般先生成乙個私鑰,然後用私鑰生成證書請求 證書請求裡應含有公鑰資訊 再利用證書伺服器的ca根證書來簽發證書。生成ca私鑰 key 生成ca證書請求 csr 自簽名得到根證書 crt ca給自已頒發的證書 generate...
openssl自行CA生成nginx測試證書及私鑰
首先,頒發者和使用者資訊不同,只是自己一手在操作,1,頒發者 ca 需要乙份private key和certificate,如下生成 私鑰 openssl genrsa des3 out ca.key 2048 證書 openssl req new x509 days 7305 key ca.key...
openssl生成自簽名證書
開啟終端,按如下步驟製作證書 1 會生成server.key檔案 openssl genrsa des3 out server.key 2048 2 建立證書請求,會生成server.csr。common name 網域名稱 openssl req new key server.key out se...