使用 OpenSSL 生成一对 CA 证书的公钥和私钥需要以下步骤。以下指南将引导您完成从生成私钥到创建 CA 根证书的全过程。

  1. 生成私钥

私钥是签发 CA 证书和后续子证书的核心,需妥善保管。

openssl genrsa -out ca-key.pem 2048

•	ca-key.pem 是生成的私钥文件。
•	2048 是密钥的长度,可以改为 4096 提高安全性。
  1. 生成证书签名请求 (CSR)

CSR 是包含 CA 的基本信息的请求文件,用于生成 CA 根证书。

openssl req -new -key ca-key.pem -out ca-csr.pem

您将被提示输入以下信息:
• Country Name (2 letter code): 如 CN 表示中国。
• State or Province Name (full name): 省份全名,如 Beijing。
• Locality Name (eg, city): 城市名,如 Beijing。
• Organization Name (eg, company): 公司或组织名称。
• Organizational Unit Name (eg, section): 部门名称。
• Common Name (eg, your name or your server’s hostname): 通常是根 CA 名称,如 My Root CA。
• Email Address: 您的电子邮件地址。

  1. 生成自签名 CA 根证书

使用 CSR 和私钥生成自签名 CA 证书。

openssl x509 -req -in ca-csr.pem -signkey ca-key.pem -out ca-cert.pem -days 3650

•	-req:表示使用 CSR 文件生成证书。
•	-signkey:指定签名所用的私钥。
•	-days:证书有效天数,这里设置为 10 年。
•	ca-cert.pem:输出的 CA 根证书文件。
  1. 检查生成的证书和私钥

验证生成的文件是否正确:
1. 查看私钥:

openssl rsa -in ca-key.pem -check

2.	查看证书内容:

openssl x509 -in ca-cert.pem -text -noout

  1. 总结生成的文件

    • ca-key.pem: CA 的私钥文件。
    • ca-cert.pem: CA 的根证书(公钥)。
    • ca-csr.pem: CA 的证书签名请求文件(可删除或保存备份)。

后续步骤

•	您可以使用这对 CA 根证书和私钥来签署子证书。
•	子证书生成流程类似,但签署时需要用 ca-key.pem 和 ca-cert.pem。

如果需要进一步的帮助,请随时告诉我!