适配 OpenSSL 1.0.2k-fips 版本的命令:
sudo mkdir -p /data/cert
sudo chmod 755 /data/cert
步骤 2:生成私钥文件(ip_cert.key)
sudo openssl genrsa -out /data/cert/ip_cert.key 2048
步骤 3:创建临时配置文件(指定 IP 扩展信息)
OpenSSL 1.0.2 需通过配置文件添加 IP 作为备用名称:
sudo tee /data/cert/openssl.cnf << 'EOF'
[req]
prompt = no
default_bits = 2048
distinguished_name = req_distinguished_name
x509_extensions = v3_ca
[req_distinguished_name]
C = CN
ST = YourState
L = YourCity
O = YourOrg
OU = YourDept
CN = 192.168.0.76
[v3_ca]
subjectAltName = IP:192.168.0.76
extendedKeyUsage = serverAuth
EOF
.crt 是证书的常见格式(与 .pem 内容格式一致,仅扩展名不同):
sudo openssl req -new -x509 -days 3650 \
-key /data/cert/ip_cert.key \
-out /data/cert/ip_cert.crt \
-config /data/cert/openssl.cnf
sudo rm -f /data/cert/openssl.cnf
应输出:
-rw-r--r-- 1 root root ... ip_cert.key # 私钥文件
-rw-r--r-- 1 root root ... ip_cert.crt # 证书文件
sudo chmod 600 /data/cert/ip_cert.key /data/cert/ip_cert.crt
注意:本文归作者所有,未经作者允许,不得转载
