测试发现openssl接口需要证书格式为.pem以下为生成方式。
前提:自己生成CA做证书签发(详细查看上一篇)
1.生成CAkey
openssl genrsa -out cakey.pem 1024
或者openssl genrsa -des3 -out cakey.pem 1024(需要密码)
2.生成CAcert
openssl req -new -x509 -key cakey.pem -out cacert.pem
3.生成serverKey
openssl genrsa -out serverkey.pem 1024
或者openssl genrsa -des3 -out serverkey.pem 1024(需要密码)
(转换无密码key:openssl rsa -in serverkey.pem -out serverkey_nopass.pem);
4.生成serverCSR
openssl req -new -key serverkey_nopass.pem -out servercsr.pem -config openssl.cnf
5.CA对serverCSR签名
openssl ca -in servercsr.pem -out server.pem -cert cacert.pem -keyfile cakey.pem -config openssl.cnf
注可能会出现:failed to update database
TXT_DB error number 2
产生的原因是:
This thing happens when certificates share common data. You cannot have two
certificates that look otherwise the same.
解决方法:将 common name设置成不同的
注颁发客户端流程同server类似。
网友评论