哪里搞一个证书链

orwtmc

tkn 发表于 2021-10-7 15:27
这是我以前自己签二级证书用的

一 根证书

大佬，谢谢

orwtmc

tkn 发表于 2021-10-7 15:27
这是我以前自己签二级证书用的

一 根证书

限制系统吗？一定要centos签？

tkn

orwtmc 发表于 2021-10-7 16:01
限制系统吗？一定要centos签？

这个和什么系统无关吧，出问题可能和 OpenSSL 版本有关，我的版本是：OpenSSL 1.1.0j  20 Nov 2018

我直接给你个三级证书的案例，直接复制下面全部内容执行，就会生成三个证书：

#一 根证书
#1 创建根证书密钥
openssl genpkey -algorithm RSA -out root.key -outform PEM -pkeyopt rsa_keygen_bits:2048

#2 申请根证书请求文件，同时创建根证书
openssl req -x509 -new -nodes -sha256 -days 3650 -key root.key -out root.crt -subj "/C=CN/ST=GD/L=SZ/O=JC/OU=root/CN=root.com"

#二 次级证书
#1 创建次级证书密钥
openssl genpkey -algorithm RSA -out ca2.key -outform PEM -pkeyopt rsa_keygen_bits:2048

#2 创建次级证书请求文件
openssl req -new -key ca2.key -out ca2.csr -subj "C=CN/ST=GD/L=SZ/O=JC/OU=ca2/CN=ca2.com"

#3 创建额外信息（多级证书，必须 basicConstraints=CA: 的值设为 TRUE）
echo "basicConstraints=CA:TRUE" > ca2.ext

#4 创建次级证书
openssl x509 -req -in ca2.csr -CA root.crt -CAkey root.key -CAcreateserial -out ca2.crt -days 730 -sha256 -extfile ca2.ext

#三 服务器证书
#1 创建服务器证书密钥
openssl genpkey -algorithm RSA -out server.key -outform PEM -pkeyopt rsa_keygen_bits:2048

#2 创建服务器证书请求文件
openssl req -new -key server.key -out server.csr -subj "C=CN/ST=GD/L=SZ/O=JC/OU=server/CN=server.com"

#3 创建服务器证书
openssl x509 -req -in server.csr -CA ca2.crt -CAkey ca2.key -CAcreateserial -out server.crt -days 365 -sha256