如何从 CA 密钥对和 CSR 颁发证书？

Question

openssl x509将为您签署证书：

openssl x509 -req -set_serial 1234 -in server.csr -CA ca.pem -CAkey ca-key.pem -out server.pem

然而，它不太可能产生你所期望的结果。请阅读手册页了解所有详细信息。例如，您可能希望向证书添加特定扩展，例如 SAN。在这种情况下，您需要创建一个包含扩展的文件，如下所示：

[ san_ext ]

subjectAltName = @alt_names

[alt_names]
DNS.1 = www.example.com
DNS.2 = example.com

保存它（例如san.cnf）。最后，使用-extfile和-extensions选项将其告知 OpenSSL：

openssl x509 -req -set_serial 1234 -ext file san.cnf -extensions san_ext -in server.csr -CA ca.pem -CAkey ca-key.pem -out server.pem

Answer 1

openssl x509将为您签署证书：

openssl x509 -req -set_serial 1234 -in server.csr -CA ca.pem -CAkey ca-key.pem -out server.pem

然而，它不太可能产生你所期望的结果。请阅读手册页了解所有详细信息。例如，您可能希望向证书添加特定扩展，例如 SAN。在这种情况下，您需要创建一个包含扩展的文件，如下所示：

[ san_ext ]

subjectAltName = @alt_names

[alt_names]
DNS.1 = www.example.com
DNS.2 = example.com

保存它（例如san.cnf）。最后，使用-extfile和-extensions选项将其告知 OpenSSL：

openssl x509 -req -set_serial 1234 -ext file san.cnf -extensions san_ext -in server.csr -CA ca.pem -CAkey ca-key.pem -out server.pem

相关内容