如何创建私有 CA 并签发证书

 

 

根证书生成方式

https://www.jianshu.com/p/781b3e27793c

 

自签名生成方式

mkdir -p ssl_server
# 生成根证书私钥(key文件)
openssl genrsa -out ssl_server/server.key 2048
# 生成CSR(证书签名请求)
openssl req -new -key ssl_server/server.key -out ssl_server/server.csr -subj "/C=CN/ST=Guangdong/L=Guangzhou/O=xdevops/OU=xdevops/CN=gitlab.xdevops.cn"
# 生成自签名SSL证书
openssl x509 -req -days 365 -in ssl_server/server.csr -signkey ssl_server/server.key -out ssl_server/server.crt

X.509证书包含三个文件：key，csr，crt。

key是服务器上的私钥文件，用于对发送给客户端数据的加密，以及对从客户端接收到数据的解密
csr是证书签名请求文件，用于提交给证书颁发机构（CA）对证书签名
crt是由证书颁发机构（CA）签名后的证书，或者是开发者自签名的证书，包含证书持有人的信息，持有人的公钥，以及签署者的签名等信息
备注：在密码学中，X.509是一个标准，规范了公开秘钥认证、证书吊销列表、授权凭证、凭证路径验证算法等。

参考：https://blog.csdn.net/nklinsirui/article/details/89432430