1. 生成自签名的CA证书
1.1 生成 CA 私钥
# openssl genrsa -out ca.key 20481.2 根据 CA 私钥生成 CA 自签名证书
# openssl req -new -x509 -days 3650 -key ca.key -out ca.crt -config /etc/pki/tls/openssl.cnf2. 通过 CA 自签名证书为服务器颁发证书
2.1 生成 服务器私钥
# openssl genrsa -out server.key 20482.2 根据 服务器私钥 生成 服务器证书签署申请(颁发证书会用到)
# openssl req -new -out server.csr -key server.key -config /etc/pki/tls/openssl.cnf2.3 根据 CA 证书以及服务器证书签署申请,为服务器颁发证书
颁发证书前,证书的database文件index.txt和序列文件serial必须创建好,
且序列号文件中得先给定一个序号,如"01"
# touch /etc/pki/CA/index.txt # echo "01" >> /etc/pki/CA/serial正式颁发证书
# openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config /etc/pki/tls/openssl.cnf那么,最终得到的 server.crt 就是服务器的证书了!