1.创建私钥
openssl genrsa -des3 -out privkey.pem 2048
这个会生成一个私钥文件,如果不期望加密,则去除-des3这个选项
2.创建请求签名证书
openssl req -new -key privkey.pem -out cert.csr
这个会生成一个请求签名证书文件,然后将文件发送给CA即可
3.创建自签名证书
如果没有ca,可以自己给自己签名
openssl req -new -x509 -key privkey.pem -out cacert.cer -days 1095
4.创建中文自签名证书
上面创建的证书里面只能是英文,不能是中文。如果要创建中文证书,则必须通过修改openssl.cnf模板文件。
首先将模板文件里面的一些缺省东西修改为中文,然后使用iconv存储为utf8格式
iconv -f gbk -t utf-8 openssl.cnf > openssl_utf8.cnf
然后使用openssl签名,指明-utf8的格式和-config的配置文件
openssl req -utf8 -new -x509 -key privkey.pem -config openssl_utf8.cnf -out cacert.cer -days 1095
对于中文的签名请求证书的方法也是一样的。
5.对请求签名证书进行签名
前面已经生成了一个签名请求文件,下面我们按照我们是CA对证书进行签名
openssl ca -batch -utf8 -in cert.csr -out cert.cer -config ca/openssl.cnf
签名证书的用途和功能可以由openssl.cnf文件中的
nsCertType = client, email, objsign,server
keyUsage = nonRepudiation, digitalSignature, keyEncipherment