OpenSSL是一个强大的开源工具,用于生成和管理证书链。以下是使用OpenSSL生成和管理证书链的基本步骤:
生成私钥:
openssl genpkey -algorithm RSA -out rootCA.key -aes256
这将生成一个2048位的RSA私钥,并使用AES-256加密保护。
生成自签名根证书:
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.pem
这将创建一个有效期为1024天的自签名根证书。
生成服务器私钥:
openssl genpkey -algorithm RSA -out server.key -aes256
生成CSR:
openssl req -new -key server.key -out server.csr
在生成CSR时,需要填写一些信息,如国家、组织名称等。
创建一个包含中间证书的文件(可选,但推荐): 如果你有中间证书,可以将它们合并到一个文件中:
cat intermediateCA.pem >> server.crt
签发服务器证书:
openssl x509 -req -in server.csr -CA rootCA.pem -CAkey rootCA.key -CAcreateserial -out server.crt -days 500 -sha256
这将使用根证书签发服务器证书,并设置有效期为500天。
验证服务器证书:
openssl verify -CAfile rootCA.pem server.crt
查看证书链: 你可以使用以下命令查看完整的证书链:
openssl s_client -connect example.com:443 -showcerts
替换example.com为你的域名。
通过以上步骤,你可以使用OpenSSL生成和管理证书链,确保你的网站或应用程序的安全通信。