前提:自己生成CA做證書簽發(詳細查看上壹篇)
1.生成CAkey
? openssl genrsa -out cakey.pem 1024
? 或者openssl genrsa -des3?-out cakey.pem 1024(需要密碼)
2.生成CAcert
openssl req -new -x509 -key cakey.pem -out cacert.pem
3.生成serverKey
? openssl genrsa -out serverkey.pem 1024
或者openssl genrsa?-des3?-out serverkey.pem 1024(需要密碼)
(轉換無密碼key:openssl rsa -in serverkey.pem -out serverkey_nopass.pem);
4.生成serverCSR
openssl req -new -key serverkey_nopass.pem -out servercsr.pem -config openssl.cnf
5.CA對serverCSR簽名
openssl?ca -in servercsr.pem -out server.pem -cert cacert.pem -keyfile cakey.pem -config openssl.cnf
註可能會出現:failed to update database
TXT_DB error number 2
產生的原因是:
This thing happens when certificates share common data. You cannot have two
certificates that look otherwise the same.
解決方法:將 common name設置成不同的
註頒發客戶端流程同server類似。