生成根CA私钥
openssl genrsa -des3 -out rootCA.key 2048
去除密钥里的密码(可选), 这里需要再输入一次原来设的密码
openssl rsa -in rootCA.key -out rootCA.key
使用私钥生成根 CA 的证书
openssl req -x509 -new -nodes -key rootCA.key -sha256 -days 1024 -out rootCA.crt
生成 IP地址 127.0.0.1 的私钥
openssl genrsa -out 127.0.0.1.key 2048
使用私钥生成证书请求文件
openssl req -new -key 127.0.0.1.key -out 127.0.0.1.csr
使用根 CA 的证书为 127.0.0.1 签名证书
openssl x509 -req -in 127.0.0.1.csr -CA rootCA.crt -CAkey rootCA.key -CAcreateserial -out 127.0.0.1.crt -days 365 -sha256 -extfile v3.ext
v3.ext内容
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[alt_names]
这里 IP 替换成 DNS 就可以签名域名了
IP.1 = 127.0.0.1
最后服务器需要安装 根CA证书
右键 rootCA.crt => 打开方式 => 加密外壳扩展
