一、生成根证书
生成根证书是构建信任链的基础,需依次完成以下步骤:
- 生成根私钥:使用OpenSSL生成RSA算法的私钥文件
root.key - 创建证书请求(CSR):通过私钥生成包含组织信息的CSR文件
root.csr,需填写国家代码、组织名称等字段 - 自签名根证书:使用私钥对CSR文件进行自签名,生成
root.crt根证书文件
二、生成服务器证书请求
服务器证书请求需包含目标主机的域名或IP信息:
- 生成服务器私钥:执行
openssl genrsa -out server.key 2048创建私钥文件 - 创建服务器CSR:通过交互式命令填写服务器信息,
Common Name必须与域名一致
三、签署服务器证书
使用根证书私钥对服务器CSR进行签名:
- 执行签名命令:
openssl x509 -req -in server.csr -CA root.crt -CAkey root.key -CAcreateserial -out server.crt - 验证签名结果:检查证书扩展字段(如
subjectAltName)是否包含正确的域名或IP
四、验证证书链
通过OpenSSL验证证书链的完整性和信任关系:
- 执行命令
openssl verify -CAfile root.crt server.crt检查证书有效性 - 部署时需将根证书导入系统信任库,避免浏览器安全警告
通过自签名根证书签发服务器证书需严格遵循密钥管理规范,确保Common Name和扩展字段的准确性。该流程适用于测试环境,生产环境建议采用权威CA机构颁发的证书以保障信任链的全局有效性。
