更新时间:2024-10-25 GMT+08:00
分享

制作CA证书

本文以Windows环境为例,介绍通过Openssl工具制作CA证书和验证证书的方法。

以下“生成密钥对(rootCA.key)”和“生成CA证书(rootCA.crt)”为操作过程中需要使用到的两个文件。

制作CA证书

  1. 在浏览器中访问这里,下载并进行安装OpenSSL工具,安装完成后配置环境变量。
  2. 在 D:\certificates 文件夹下,以管理员身份运行cmd命令行窗口。
  3. 生成密钥对(rootCA.key):

    生成“密钥对”时输入的密码在生成“证书签名请求文件”、“CA证书”,“验证证书”以及“设备证书”时需要用到,请妥善保存。

    openssl genrsa -des3 -out rootCA.key 2048

  4. 使用密钥对生成证书签名请求文件:

    生成证书签名请求文件时,要求填写证书唯一标识名称(Distinguished Name,DN)信息,参数说明如下表1 所示。

    表1 证书签名请求文件参数说明

    提示

    参数名称

    取值样例

    Country Name (2 letter code) []:

    国家/地区

    CN

    State or Province Name (full name) []:

    省/市

    GuangDong

    Locality Name (eg, city) []:

    城市

    ShenZhen

    Organization Name (eg, company) []:

    组织机构(或公司名)

    Huawei Technologies Co., Ltd.

    Organizational Unit Name (eg, section) []:

    机构部门

    Cloud Dept.

    Common Name (eg, fully qualified host name) []:

    CA名称(CN)

    Huawei IoTDP CA

    Email Address []:

    邮箱地址

    /

    A challenge password []:

    证书密码,如您不设置密码,可以直接回车

    /

    An optional company name []:

    可选公司名称,如您不设置,可以直接回车

    /

    openssl req -new -key rootCA.key -out rootCA.csr

  5. 生成CA证书(rootCA.crt):

    openssl x509 -req -days 50000 -in rootCA.csr -signkey rootCA.key -out rootCA.crt

    “-days”后的参数值指定了该证书的有效天数,此处示例为50000天,您可根据实际业务场景和需要进行调整。

相关文档