之前的文章中介紹了通過mkcert和itiverba生成自簽證書的方法，也分析了其中的優(yōu)劣勢對比，無論itiverba還是mkcert的原理都是先創(chuàng)建根證書，然后通過根證書進行簽發(fā)對應(yīng)的網(wǎng)站證書。http://www.geizy.cn/html/show-2614.html itisscg一個可以自定義subject Alternative Name的自簽證書工具

本篇文章針對通過openssl來進行說明CA自簽證書生成的方法，首先先下載openssl到我們電腦，根據(jù)所用的linux系統(tǒng)或windows進行選擇。

我這里用的事centos 7版本的系統(tǒng)，查看下openssl的版本為1.1.1。

我們先來生成 CA 根密鑰, 如果需要指定密碼，可以在生成的后面增加參數(shù): -passout pass: ***, 不加的話一會根據(jù)提示輸入密碼。

openssl genrsa -aes256 -out ./wenhuikey.pem 4096

-ase256 格式加密，并輸出至當(dāng)前目錄下的wenhuikey.pem ,提示輸入密碼，并再次輸入確認密碼即可。

這樣我們就生成了ca根秘鑰，下面通過ca根秘鑰來生成請求文件。

openssl req -new -sha256 \

    -key ./cakey.pem \

    -out ./wenhuica.csr \

    -subj "/C=CN/ST=SD/L=JN/O=WenHui/OU=Info/CN=WenHui"

這里解釋一下，-key 指定剛剛生成的秘鑰，-out 指定的是生成的請求文件，-subj是來設(shè)置證書對應(yīng)的屬性，

可以通過 openssl req -text -noout -in ./wenhuica.csr查看請求文件

下面我們通過請求文件和根秘鑰來生成證書，

  openssl x509 -req -sha256 -days 365 \

    -in ./wenhuica.csr \

    -signkey ./wenhuikey.pem \

    -out ./wenhuica.crt 

-in是指定輸入的請求文件，-signkey指定根秘鑰，-out輸出的證書文件， -sha256加密方式 -days 365 證書有效期365天，證書有效期根據(jù)實際需要進行設(shè)置即可。

再次輸入key的密碼后即可生成對應(yīng)的ca證書，以上就完成了通過openssl根證書的過程了。