HTTPS 证书制作

May I Suggest ?

#leanote #leanote blog #code #hello world

柯仓无居所

HTTPS 证书制作

? HTTPS 证书 ? ? 证书 ? ? 证书生成 ? 543 0 0

swimming ? HTTPS 证书 ? ? 证书 ? ? 证书生成 ?

本文摘自 : [Linux下制作HTTPS证书](https://cloud.tencent.com/developer/article/1499553)

-----
> 废话不多说，如果只是需要 https 的证书，则直接执行生产根证书的步骤即可，后续步骤可以不必执行。

-  **更改一些默认配置**
```bash
 rm -rf /etc/pki/CA/*.old
 touch /etc/pki/CA/index.txt
 echo 01 > /etc/pki/CA/serial
 echo 02 > /etc/pki/CA/serial
```

- **准备证书生成目录**
```bash
cd /home/cert/
rm -rf keys
mkdir keys
```
- 生成【根证书】RSA私钥
```bash
openssl genrsa -out RootCA.key 2048
```
- 使用步骤1生成的 RSA 私钥生成自签名证书，证书有效期设置为3650(10年)
```bash
openssl req -new -x509 -days 3650 -key RootCA.key -out RootCA.crt -subj "/C=CN/ST=SD/L=JN/O=DW/OU=DW/CN=RootCA"
```
- 生成【二级证书】RSA私钥
```bash
openssl genrsa -out secondCA.key 2048
openssl rsa -in secondCA.key -out secondCA.key
```
- 生成【二级证书请求文件】secondCA.csr，-subj的值最好与根证书保持一致
```bash
openssl req -new -days 3650 -key secondCA.key -out secondCA.csr -subj "/C=CN/ST=SD/L=JN/O=DW/OU=DW/CN=SecCA"
```
- 根证书【认证】二级证书
```bash
openssl ca -extensions v3_ca -in secondCA.csr -config /etc/pki/tls/openssl.cnf -days 3650 -out secondCA.crt -cert RootCA.crt -keyfile keys/RootCA.key -batch
```
- 生成【服务器】RSA私钥
```bash
openssl genrsa  -out server.key 2048
openssl rsa -in server.key -out server.key
```
- 生成【服务器证书请求文件】server.csr   此处CN的值应填写服务器的IP 
```bash
openssl req -new -days 3650 -key server.key -out server.csr  -subj "/C=CN/ST=SD/L=JN/O=DW/OU=DW/CN=10.1.91.241"
```

- 二级证书【认证】服务器证书
```bash
openssl ca -in server.csr -config /etc/pki/tls/openssl.cnf -days 3650 -out server.crt -cert secondCA.crt -keyfile secondCA.key  -batch
```

- 证书公钥转格式 crt转换为PEM
```bash
openssl x509 -in secondCA.crt -out second-cert.pem -outform PEM
openssl x509 -in RootCA.crt -out RootCA-cert.pem -outform PEM
```
- 公钥合并，这一步的主要作用是构建证书链:根证书 => 二级证书 => 服务器证书 
```bash
cat second-cert.pem >> server.crt
cat RootCA-cert.pem>> server.crt
```
- 将服务器证书转换为电脑能够安装的P12格式 ，密码自定义，此处为666666
```bash
openssl pkcs12 -export -clcerts -in server.crt -inkey server.key -out server.p12 -     password pass:666666 -passin pass:666666 -passout pass:666666
```

> 最后这两步使用keytool命令，执行前，确认服务器正确安装配置了JDK，建议1.8

- 生成服务器配置用的 server.jks
```bash
keytool -importkeystore -srckeystore server.p12 -destkeystore server.jks -srcstoretype pkcs12 -deststoretype jks  -srcstorepass 666666 -deststorepass 666666 -storepass 666666 -destalias server -srcalias 1
```
- 根证书导入信任正式库，生成 servertrust.jks 服务器配置用
```bash
keytool -import -alias root -trustcacerts -file RootCA-cert.pem -keystore servertrust.jks -keypass 666666 -storepass 666666 -noprompt
```

觉得不错，点个赞？

文章目录