关于OpeSSL生成自签名证书 | 您所在的位置:网站首页 › openssl使用证书 › 关于OpeSSL生成自签名证书 |
openssl x509 -in server.crt -text -noout 4生成客户端证书 # 创建client的证书签名请求 openssl req -new -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/C=CN/ST=hangzhou/L=test/O=test/OU=test-it/CN=client" # 用secondary-ca签发client的证书签名请求 openssl x509 -req -in client.csr -CA mid-ca.crt -CAkey mid-ca.key -CAcreateserial -out client.crt -days 3650 # 查看创建的证书 openssl x509 -in client.crt -text -noout 生成.net core识别的证书文件client.pfx openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx 5制作证书链 # server.crt的签发是secondary-ca,而secondary-ca的签发是root-ca # 对server.crt的验证必须使用到这两个证书,需要制作为证书链。 # 制作证书链的方法直白而简单:将证书拼接在一个文件中即可 Linux :cat root-ca.crt mid-ca.crt > chain-ca.crt windows :type root-ca.crt mid-ca.crt > chain-ca.crt 验证: openssl verify -verbose -CAfile root-ca.crt server.crt 单个无法验证 验证:openssl verify -verbose -CAfile mid-ca.crt server.crt 单个无法验证 验证:openssl verify -verbose -CAfile chain-ca.crt server.crt 合成之后在验证 |
CopyRight 2018-2019 实验室设备网 版权所有 |