花絮:生成CA签发证书的糗事
花絮
小编在写作此文档时,犯过一些有趣的错误;
分享一个在Openssl 协议中“生成CA签发证书”的故事;
#修改签发证书命令,关于Subj的探索很纠结;(此处是试验,结果证明是错的!)
-----------------------------------------START--------------------------------------------------
Openssl> ca -in CA_req.pem -batch -out CA_cert.pem
#重新生成证书请求,参考上文
> req -new -out CA_req.pem -keyout CA_key.pem
> req -in CA_req.pem -text
#比较根证书内容
#发现一致,进行签发证书应该不会错;
> ca -in CA_req.pem -out CA_cert.pem
#数据库更新失败?求解;
#重新生成CA,结果如下;
#结果还是数据库更新失败!
#所以,原因是什么呢?是因为没有指定CA文件么?试试
> ca -in CA_req.pem -cert ./demoCA/cacert.pem -out CA_cert.pem
#还是失败,是不是Subj不能完全一样呢?试试
> req -new -out CA_req1.pem -keyout CA_key1.pem
> ca -in CA_req1.pem -cert ./demoCA/cacert.pem -out CA_cert.pem
#成功了!有木有^_^
#所以,问题在于文本数据库的Key基于Subj的,不能完全一样!
-----------------------------------------The End-------------------------------------------------