OpenSSL创建带SAN扩展的证书并进行CA自签名

要创建带SAN扩展的证书并进行CA自签名，请按照以下步骤操作：

步骤1：安装OpenSSL

首先，确保您已安装OpenSSL。在大多数Linux发行版上，您可以使用包管理器来安装它。例如，在Ubuntu上，可以使用以下命令安装OpenSSL：

sudo apt-get install openssl

步骤2：生成CA私钥

接下来，我们需要生成CA的私钥。打开终端并执行以下命令：

openssl genrsa -out ca.key 2048

这将生成一个2048位的RSA私钥并将其保存到名为“ca.key”的文件中。

步骤3：创建CA证书请求

使用以下命令生成CA证书请求：

openssl req -new -key ca.key -out ca.csr

您将被要求提供一些信息，例如国家/地区、组织、常用名等。填写所需信息后，将生成一个名为“ca.csr”的证书请求文件。

步骤4：自签名CA证书

使用以下命令对CA证书请求进行自签名：

openssl x509 -req -days 365 -in ca.csr -signkey ca.key -out ca.crt

这将使用CA私钥对证书请求进行签名，生成一个有效期为365天的自签名CA证书，并将其保存到名为“ca.crt”的文件中。

步骤5：生成服务器私钥和证书请求

现在，我们将为服务器生成私钥和证书请求。执行以下命令：

openssl genrsa -out server.key 2048
openssl req -new -key server.key -out server.csr

这将生成一个2048位的RSA私钥并将其保存到名为“server.key”的文件中。然后，创建一个名为“server.csr”的服务器证书请求文件。您需要提供与步骤3类似的信息。

步骤6：将服务器证书请求与SAN扩展关联

使用以下命令将服务器证书请求与SAN扩展关联：

openssl req -x509 -in server.csr -out server.crt -extensions v3_req -extfile openssl.cnf

这将使用OpenSSL配置文件“openssl.cnf”将SAN扩展添加到服务器证书请求中，并生成一个自签名的服务器证书，保存到名为“server.crt”的文件中。请确保在“openssl.cnf”文件中正确配置了SAN扩展。

现在，您已经成功创建了带SAN扩展的证书并进行CA自签名。您可以使用“ca.crt”作为CA证书，“server.crt”作为服务器证书，“ca.key”作为CA私钥和“server.key”作为服务器私钥进行配置。请确保将证书和私钥妥善保管，并根据需要进行配置和使用。