生成根CA私钥

openssl genrsa -des3 -out rootCA.key 2048

去除密钥里的密码(可选)， 这里需要再输入一次原来设的密码

openssl rsa -in rootCA.key -out rootCA.key

使用私钥生成根 CA 的证书

openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt

生成 IP地址 127.0.0.1 的私钥

openssl genrsa -out 127.0.0.1.key 2048

使用私钥生成证书请求文件

openssl req -new -key 127.0.0.1.key -out 127.0.0.1.csr

使用根 CA 的证书为 127.0.0.1 签名证书

openssl x509 -req -in 127.0.0.1.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out 127.0.0.1.crt -days 365 -sha256 -extfile v3.ext

v3.ext内容

authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names

[alt_names]

这里 IP 替换成 DNS 就可以签名域名了

IP.1 = 127.0.0.1

最后服务器需要安装 根CA证书

右键 rootCA.crt => 打开方式 => 加密外壳扩展