制作CA证书
本文以Windows环境为例,介绍通过Openssl工具制作CA证书和验证证书的方法。
以下“生成密钥对(rootCA.key)”和“生成CA证书(rootCA.crt)”为操作过程中需要使用到的两个文件。
制作CA证书
- 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。
- 在 D:\certificates 文件夹下,以管理员身份运行cmd命令行窗口。
- 生成密钥对(rootCA.key):
生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。
openssl genrsa -des3 -out rootCA.key 2048
- 使用密钥对生成证书签名请求文件:
生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1 所示。
表1 证书签名请求文件参数说明 提示
参数名称
取值样例
Country Name (2 letter code) []:
国家/地区
CN
State or Province Name (full name) []:
省/市
GuangDong
Locality Name (eg, city) []:
城市
ShenZhen
Organization Name (eg, company) []:
组织机构(或公司名)
Huawei Technologies Co., Ltd.
Organizational Unit Name (eg, section) []:
机构部门
Cloud Dept.
Common Name (eg, fully qualified host name) []:
CA名称(CN)
Huawei IoTDP CA
Email Address []:
邮箱地址
/
A challenge password []:
证书密码,如您不设置密码,可以直接回车
/
An optional company name []:
可选公司名称,如您不设置,可以直接回车
/
openssl req -new -key rootCA.key -out rootCA.csr
- 生成CA证书(rootCA.crt):
openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt
“-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。