关于OpeSSL生成自签名证书

openssl x509 -in server.crt -text -noout

4生成客户端证书

# 创建client的证书签名请求

openssl req -new -newkey rsa:2048 -nodes -keyout client.key -out client.csr -subj "/C=CN/ST=hangzhou/L=test/O=test/OU=test-it/CN=client"

# 用secondary-ca签发client的证书签名请求

openssl x509 -req -in client.csr -CA mid-ca.crt -CAkey mid-ca.key -CAcreateserial -out client.crt -days 3650

# 查看创建的证书

openssl x509 -in client.crt -text -noout

生成.net core识别的证书文件client.pfx

openssl pkcs12 -export -in client.crt -inkey client.key -out client.pfx

5制作证书链

# server.crt的签发是secondary-ca，而secondary-ca的签发是root-ca

# 对server.crt的验证必须使用到这两个证书，需要制作为证书链。

# 制作证书链的方法直白而简单：将证书拼接在一个文件中即可

Linux :cat root-ca.crt mid-ca.crt > chain-ca.crt

windows :type  root-ca.crt  mid-ca.crt > chain-ca.crt

验证: openssl verify -verbose -CAfile root-ca.crt server.crt 单个无法验证

验证:openssl verify -verbose -CAfile mid-ca.crt server.crt 单个无法验证

验证:openssl verify -verbose -CAfile chain-ca.crt  server.crt 合成之后在验证