今、我々はルートCAであり、我々はデジタル証明書に署名するために我々の顧客のための準備ができている、3つのステップがCAからデジタル証明書を取得する必要があります。
1.公開鍵/秘密鍵のペアを生成
私たちは、RSA鍵ペアを生成するには、次のコマンドを実行します。あなたはまた、(私はここで設定したパスワードは123456です)あなたの鍵を保護するためのパスワードを提供する必要があります。キーは、server.keyのファイルに保存されます。
openssl genrsa -des3 -out server.key 1024
証明書署名要求を生成します。2.
同社は、キー文書を持っていたら、それは証明書署名要求(CSR)を生成する必要があります。CSRは、(通常は身元情報を確認した後、CSRに一致する)CAは、要求の証明書を生成することができ、CAに送信されます。証明書の要求の総称としてqy-bb.club、およびいくつかの漢を失った自分の心に留めておいてください。
openssl req -new -key server.key -out server.csr -config openssl.cnf
証明書を生成します。3.
証明書を生成します。CSRファイルには、CA証明書が署名を構成している必要があります。現実の世界では、CSRファイルは、多くの場合、信頼されたCA署名に送信されます。本研究では、証明書を生成するために私たち自身のCAを使用します。
openssl ca -in server.csr -out server.crt -cert ca.crt -keyfile ca.key -config openssl.cnf
OpenSSLゴミが証明書を生成する場合は、CAの名前でリクエストが不一致を開催するので、それはおそらくです。ルールは設定ファイルに(で[ポリシーの一致を])を指定し、名前を変更することができますマッチングしてもルールを変更することができます。私たちは、これを行っている、それはルールを変更します。
次のようにこの時点では、ディレクトリ構造は次のとおりです。
.
|-- ca.crt
|-- ca.key
|-- demoCA
| |-- certs
| |-- crl
| |-- index.txt
| |-- newcerts
| `-- serial
|-- openssl.cnf
|-- server.crt
|-- server.csr
`-- server.key
