使用OpenSSL生成根证书CA及签发子证书

在使用OpenSSL生成根证书CA和子证书之前，您需要确保已经安装了OpenSSL工具。接下来，按照以下步骤进行操作：
步骤一：生成根证书CA的私钥
使用以下命令生成CA的私钥：
openssl genrsa -out ca.key 4096
这将生成一个名为“ca.key”的私钥文件。请注意，生成的私钥应妥善保管，以防止未经授权的访问。
步骤二：生成根证书CA的证书签名请求（CSR）
使用以下命令生成CA的CSR：
openssl req -new -key ca.key -out ca.csr -subj ‘/C=CN/ST=JiangSu/L=NanJing/O=jiyang/OU=RDC/CN=ca.jiyangsoft.com’
在执行此命令时，您将被要求提供一些信息，例如国家代码（C）、省份（ST）、城市（L）、组织（O）和组织单位（OU）等。请根据您的实际情况填写。此外，您还需要为CA设置一个唯一的Common Name（CN），例如“ca.jiyangsoft.com”。
步骤三：生成根证书CA的证书
使用以下命令生成CA的证书：
openssl x509 -req -days 3650 -in ca.csr -signkey ca.key -out ca.crt
这将生成一个名为“ca.crt”的根证书文件。同样地，生成的证书应妥善保管。
步骤四：生成服务端证书
生成服务端证书的过程与生成根证书CA的过程类似。首先，您需要为服务端生成私钥：
openssl genrsa -out server.key 2048
接下来，使用以下命令生成服务端的CSR：
openssl req -new -sha256 -out server.csr -subj ‘/C=CN/ST=JiangSu/L=NanJing/O=jiyang/OU=RDC/CN=example.com’
在执行此命令时，您需要提供一些信息，并为您的服务端设置一个唯一的Common Name（CN），例如“example.com”。
然后，使用以下命令签发服务端证书：
openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -sha256
请注意，此命令需要将“ca.crt”和“ca.key”替换为您之前生成的根证书和私钥文件名。执行此命令后，将生成一个名为“server.crt”的服务端证书文件。同样地，生成的证书应妥善保管。
在完成上述步骤后，您已经成功地生成了根证书CA以及服务端的私钥、CSR和证书。请确保将私钥和证书文件存储在安全的地方，并采取适当的措施保护它们免受未经授权的访问。此外，为了在服务器上使用这些证书，您还需要将它们安装在服务器上的适当位置。具体操作方法可能因服务器操作系统和配置而有所不同。您可以在OpenSSL官方文档或相关资料中找到更多关于安装和配置证书的详细信息。