自制CA证书

参考：https://blog.csdn.net/zheyiw/article/details/88909697

1 自制CA私钥

mkdir my_ca
cd my_ca/
openssl genrsa -des3 -out ca.key 4096

 

执行过程中，会提示你输入密码。随便输入一个就可以。后续步骤会多次设置密码，最好使用同一个密码，避免忘记

2 自制CA证书

 openssl req -new -x509 -days 3650 -key ca.key -out ca.crt 

这一步会提示你输入密码，国家名，省份，城市，公司，部门，common name，邮箱。

 

3 自制Server私钥，生成免密码版本

openssl genrsa -des3 -out server.key 4096
openssl rsa -in server.key -out server.nosecret.key

 

4 制作csr文件

5 用CA证书私钥对csr签名，生成Server证书

CA不能用X509，这点需要注意

 

此处有报错，做如下操作解决

touch /etc/pki/CA/index.txt
touch /etc/pki/CA/serial
echo "01" > /etc/pki/CA/serial

 

重新执行命令

 

然后

 

6 服务端Nginx配置

把server.crt和server.nosecret.key拷贝到nginx/conf/ssl目录下

 

配置nginx.conf

 

7 启动nginx，查看效果

 

因为这是我们自己制作的ca证书，所以会有上图中的提示。