3、使用根证书签发下级证书 openssl x509 -req -days 365 -sha1 -extensions v3_req -CA ca.cer -CAkey cakey.pem \ -CAserial ca.srl -CAcreateserial -in child.csr -out child.cer 说明: -CA——指定CA证书的路径 -CAkey——指定CA证书的私钥路径 -CAserial——指定证书序列号文件的路径 -CAcreates...
openssl x509 -req -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -inclient.csr -out client.crt -days 3650 方式二(openssl ca命令签发 使用配置文件/etc/pki/tls/openssl.cnf): openssl ca -cert rootCA.crt -keyfile rootCA.key -inclient.csr -out client.crt -days 3650 -config /etc/pki...
example2: 使用根CA证书对"请求签发证书"进行签发,生成x509格式证书 1. openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out serverx509.crt example3: 打印出证书的内容 1. openssl x509 -in server.crt -noout -text 证书验签: openssl verify -CAfile demoC...
使用私有 CA 签发证书,并确保它包含 SAN。 openssl x509 -req -inserver.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out server.crt -days 365 -sha256 -extfile myopenssl.cnf -extensions v3_req -CA rootCA.crt上述创建的CA证书。 -CAkey rootCA.key上述CA私钥签发证书。 -CAcreateseria...
-CAcreateserial,创建证书序列号,使用此选项,当CA序列号文件不存在时将被创建:它将包含序列号“02”(根据实际配置文件Serial来),正在签名的证书将具有1作为其序列号。通常如果指定了-CA选项并且序列号文件不存在,则会出现错误 -extensions, ignoring -extensions option without -extfile, 需要指定extfile ...
CAcreateserial -passin pass:abcd -extfile "d:\02.ext" -extensions usr_cert :: 把HOST1和HOST2的所属文件拷贝到对应目录copy host1.* d:\host1© host2.* d:\host2 :: 验证证书链openssl verify -show_chain -CAfile rca.cer host1.ceropenssl verify -show_chain -CAfile rca.cer host2....
private: 存放CA证书的私钥 certs: 存放CA证书 netcerts: 存放新生成的服务端或客户端证书,一般以序列号命名 serial: 序列号,需给定初始值,可随意设置为01,1000等 index.txt: 文件数据库,签发证书后会更新该数据库 制作CA根证书 # 生成CA根证书私钥:为保证安全,生成一个4096位的私钥,并使用CNs方式加密 ...
CA自己的私钥是唯一标识CA签名的,因此CA用于生成数字证书的签名函数一定要以自己的私钥作为一个输入参数...
openssl x509 -req -in johnsmith.cert.csr -out johnsmith.cert -signkey johnsmith.key -CA waipio.ca.cert -CAkey waipio.ca.key -CAcreateserial -days 365 可选:创建公用密钥的 DER 编码版本。该文件仅包含公用密钥,而不包含专用密钥。由于它不包含专用密钥,因此它可以共享,而且不需要受密码保护。
openssl x509 -req -days 730 -CA certs/ca.cer -CAkey private/cakey.pem -CAserial ca.srl -CAcreateserial -in private/server.csr -out certs/server.crt -extfile private/server.dns.ext 上面的指令是使用刚才创建的域名文件附加信息。如果需要使用IP,那么改一下最后的文件名即可。 13. 如果你使用IIS...