之前的文章中介紹了通過(guò)mkcert和itiverba生成自簽證書(shū)的方法，也分析了其中的優(yōu)劣勢(shì)對(duì)比，無(wú)論itiverba還是mkcert的原理都是先創(chuàng)建根證書(shū)，然后通過(guò)根證書(shū)進(jìn)行簽發(fā)對(duì)應(yīng)的網(wǎng)站證書(shū)。http://www.26587.cn/html/show-2614.html itisscg一個(gè)可以自定義subject Alternative Name的自簽證書(shū)工具

本篇文章針對(duì)通過(guò)openssl來(lái)進(jìn)行說(shuō)明CA自簽證書(shū)生成的方法，首先先下載openssl到我們電腦，根據(jù)所用的linux系統(tǒng)或windows進(jìn)行選擇。

我這里用的事centos 7版本的系統(tǒng)，查看下openssl的版本為1.1.1。

我們先來(lái)生成 CA 根密鑰, 如果需要指定密碼，可以在生成的后面增加參數(shù): -passout pass: ***, 不加的話一會(huì)根據(jù)提示輸入密碼。

openssl genrsa -aes256 -out ./wenhuikey.pem 4096

-ase256 格式加密，并輸出至當(dāng)前目錄下的wenhuikey.pem ,提示輸入密碼，并再次輸入確認(rèn)密碼即可。

這樣我們就生成了ca根秘鑰，下面通過(guò)ca根秘鑰來(lái)生成請(qǐng)求文件。

openssl req -new -sha256 \

    -key ./cakey.pem \

    -out ./wenhuica.csr \

    -subj "/C=CN/ST=SD/L=JN/O=WenHui/OU=Info/CN=WenHui"

這里解釋一下，-key 指定剛剛生成的秘鑰，-out 指定的是生成的請(qǐng)求文件，-subj是來(lái)設(shè)置證書(shū)對(duì)應(yīng)的屬性，

可以通過(guò) openssl req -text -noout -in ./wenhuica.csr查看請(qǐng)求文件

下面我們通過(guò)請(qǐng)求文件和根秘鑰來(lái)生成證書(shū)，

  openssl x509 -req -sha256 -days 365 \

    -in ./wenhuica.csr \

    -signkey ./wenhuikey.pem \

    -out ./wenhuica.crt 

-in是指定輸入的請(qǐng)求文件，-signkey指定根秘鑰，-out輸出的證書(shū)文件， -sha256加密方式 -days 365 證書(shū)有效期365天，證書(shū)有效期根據(jù)實(shí)際需要進(jìn)行設(shè)置即可。

再次輸入key的密碼后即可生成對(duì)應(yīng)的ca證書(shū)，以上就完成了通過(guò)openssl根證書(shū)的過(guò)程了。