openssl 续签CA根证书

2023-04-16 10:32:43 +08:00

字数统计: 172 | 阅读时长≈ 1 分钟

第一种、使用原有的openssl配置

使用已有的证书和私钥生成CSR

1	openssl x509 -in ca.crt -signkey ca.key -x509toreq -out ca.csr

生成自签名证书

openssl x509 \
        -req -days 3650 \
        -sha256 -CAcreateserial \
        -extfile openssl.cnf \
        -extensions v3_ca \
        -in ca.csr \
        -signkey ca.key -out ca_new.crt

第二种、使用新的V3扩展重新生成

用于原有自定义的配置（openssl.cnf）丢失

使用已有的证书和私钥生成CSR

1	openssl x509 -in ca.crt -signkey ca.key -x509toreq -out ca.csr

创建V3扩展文件

cat << 'EOF' > ca_v3.ext
basicConstraints       = critical, CA:true, pathlen:2
keyUsage               = critical, digitalSignature, cRLSign, keyCertSign
subjectKeyIdentifier   = hash
authorityKeyIdentifier = keyid:always,issuer
EOF

生成自签名证书

openssl x509 -req \
        -days 365 \
        -sha256 \
        -CAcreateserial \
        -extfile ca_v3.ext \
        -in ca.csr \
        -signkey ca.key -out ca_new.crt

打赏

版权声明： 本博客所有文章除特别声明外，著作权归作者所有。转载请注明出处！