【CA】 颁发自签名证书

1.  生成自签名的CA证书

1.1  生成 CA 私钥

# openssl genrsa -out ca.key 2048

1.2  根据 CA 私钥生成 CA 自签名证书

# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf 

2.  通过 CA 自签名证书为服务器颁发证书

2.1  生成 服务器私钥

# openssl genrsa -out server.key 2048 

2.2  根据 服务器私钥 生成 服务器证书签署申请（颁发证书会用到）

# openssl req -new -out server.csr -key server.key -config /etc/pki/tls/openssl.cnf 

2.3  根据 CA 证书以及服务器证书签署申请，为服务器颁发证书

       颁发证书前，证书的database文件index.txt和序列文件serial必须创建好，

       且序列号文件中得先给定一个序号，如"01"

# touch /etc/pki/CA/index.txt
# echo "01" >> /etc/pki/CA/serial

        正式颁发证书

# openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf

        那么，最终得到的 server.crt 就是服务器的证书了！