使用OpenSSL制作CA证书参考

根据安全要求，RSA算法密钥长度至少为2048比特，建议使用4096比特。请确保使用“-aes256”等命令进行密钥加密，同时MD5、SHA1、RSA1024用于加密有安全风险，不建议使用。
请合理设置证书有效期，建议不要超过36个月。
制作自签名证书时如果输入的密码为空，产生的私钥是明文，有安全风险，输入口令建议满足一定的复杂度。
口令复杂度建议：
1. 口令长度至少8个字符。
2. 口令必须包含如下至少两种字符的组合：
  - 至少一个小写字母。
  - 至少一个大写字母。
  - 至少一个数字。
  - 至少一个特殊字符。

使用OpenSSL制作CA证书

登录到任意一台安装有OpenSSL工具的Linux机器。
创建“cert_v3”目录并进入该目录。
```
mkdir cert_v3
cd cert_v3
```
在“cert_v3”目录下，创建工作目录ca并进入该目录。
```
mkdir ca
cd ca
```

创建CA证书的OpenSSL配置文件“ca_cert.conf”，内容如下：

[ req ]
 distinguished_name     = req_distinguished_name 
 prompt                 = no  

[ req_distinguished_name ]  
 O                      = MEF
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

创建CA证书私钥文件“ca.key”。
```
openssl genrsa -aes256 -out ca.key 4096
```
请合理设置密码强度，长度至少为8个字符，且包含数字、大写字母、小写字母、特殊符号中的两种及以上字符组合。

创建CA证书的csr请求文件“ca.csr”。

openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf

创建自签名的CA证书“ca.crt”。

openssl x509 -req -in ca.csr -out ca.crt -sha256 -days 1000 -extfile ./ca_cert.conf -extensions v3_ca -signkey ca.key

父主题： 常用操作