https://www.dev-app.cn/categories/ssl/ Recent content in ssl on Fhw Site Hugo -- gohugo.io en-us fhw Sat, 24 Sep 2022 00:00:00 +0000 https://www.dev-app.cn/posts/https-ssl/ Sat, 24 Sep 2022 00:00:00 +0000 https://www.dev-app.cn/posts/https-ssl/ 一般来说根证书是第三方大的CA机构的，需要花钱。所以我们自建CA机构的私钥和根证书，再用它们来签发我们的服务器证书。 前置条件要安装openssl 1. 生成ca的私钥ca.key 默认2048位 openssl genrsa -out ca.key 2. CA的证书ca.crt的生成。用来签署server.csr请求文件。 利用私钥生成一个根证书的申请，一般证书的申请格式都是csr。所以私钥和csr一般需要保存好。 这里会要求输入国家、机构等信息，根据自身情况是否需要输入，不输入就直接回车即可。如果在此处设置了密码，那么以后使用它时需要输入该密码 openssl req -new -key ca.key -out ca.csr 3. 使用ca私钥签发ca.csr得到ca根证书为ca.crt, 证书有效期设置10年 openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt 4. 创建服务器的私钥server.key 创建服务器私钥和证书申请，并用ca的私钥和证书来签发得到服务器证书 openssl genrsa -out server.key 5. 此处和ca证书申请一样，根据需要输入信息 openssl req -new -key server.key -out server.csr 6. 利用ca私钥签发服务器server.csr得到服务器证书server.crt, 证书有效期设置10年 openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.