通過openssl生成CA自簽發證書的方法

之前的文章中介紹了通過mkcert和itiverba生成自簽證書的方法，也分析了其中的優劣勢對比，無論itiverba還是mkcert的原理都是先創建根證書，然后通過根證書進行簽發對應的網站證書。http://www.zhfgs.com/html/show-2614.html itisscg一個可以自定義subject Alternative Name的自簽證書工具

本篇文章針對通過openssl來進行說明CA自簽證書生成的方法，首先先下載openssl到我們電腦，根據所用的linux系統或windows進行選擇。

我這里用的事centos 7版本的系統，查看下openssl的版本為1.1.1。

我們先來生成 CA 根密鑰, 如果需要指定密碼，可以在生成的后面增加參數: -passout pass: ***, 不加的話一會根據提示輸入密碼。

openssl genrsa -aes256 -out ./wenhuikey.pem 4096

-ase256 格式加密，并輸出至當前目錄下的wenhuikey.pem ,提示輸入密碼，并再次輸入確認密碼即可。

這樣我們就生成了ca根秘鑰，下面通過ca根秘鑰來生成請求文件。

openssl req -new -sha256 \

    -key ./cakey.pem \

    -out ./wenhuica.csr \

    -subj "/C=CN/ST=SD/L=JN/O=WenHui/OU=Info/CN=WenHui"

這里解釋一下，-key 指定剛剛生成的秘鑰，-out 指定的是生成的請求文件，-subj是來設置證書對應的屬性，

可以通過 openssl req -text -noout -in ./wenhuica.csr查看請求文件

下面我們通過請求文件和根秘鑰來生成證書，

  openssl x509 -req -sha256 -days 365 \

    -in ./wenhuica.csr \

    -signkey ./wenhuikey.pem \

    -out ./wenhuica.crt 

-in是指定輸入的請求文件，-signkey指定根秘鑰，-out輸出的證書文件， -sha256加密方式 -days 365 證書有效期365天，證書有效期根據實際需要進行設置即可。

再次輸入key的密碼后即可生成對應的ca證書，以上就完成了通過openssl根證書的過程了。