- 根据安全要求,RSA算法密钥长度至少为3072比特,建议使用4096比特。请确保使用“-aes256”等命令进行密钥加密,同时MD5、SHA1、RSA1024用于加密有安全风险,不建议使用。
- 请合理设置证书有效期,建议不要超过36个月。
- 制作自签名证书时如果输入的密码为空,产生的私钥是明文,有安全风险,输入口令建议满足一定的复杂度。
- 口令复杂度建议:
- 口令长度至少8个字符。
- 口令必须包含如下至少两种字符的组合:
- 至少一个小写字母。
- 至少一个大写字母。
- 至少一个数字。
- 至少一个特殊字符。
使用OpenSSL制作CA证书
- 登录到任意一台安装有OpenSSL工具的Linux机器。
- 创建“cert_v3”目录并进入该目录。
mkdir cert_v3 cd cert_v3
- 在“cert_v3”目录下,创建工作目录ca并进入该目录。
mkdir ca cd ca
- 创建CA证书的OpenSSL配置文件“ca_cert.conf”,内容如下:
[ req ] distinguished_name = req_distinguished_name prompt = no [ req_distinguished_name ] O = MEF [ v3_ca ] subjectKeyIdentifier = hash authorityKeyIdentifier = keyid:always,issuer basicConstraints = critical, CA:true keyUsage = critical, digitalSignature, cRLSign, keyCertSign
- 创建CA证书私钥文件“ca.key”。
openssl genrsa -aes256 -out ca.key 4096
请合理设置密码强度,长度至少为8个字符,且包含数字、大写字母、小写字母、特殊符号中的两种及以上字符组合。
- 创建CA证书的csr请求文件“ca.csr”。
openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf
- 创建自签名的CA证书“ca.crt”。
openssl x509 -req -in ca.csr -out ca.crt -sha256 -days 1000 -extfile ./ca_cert.conf -extensions v3_ca -signkey ca.key
