使用OpenSSL制作CA证书

登录到任意一台安装有OpenSSL工具的Linux机器。
创建“cert_v3”目录并进入该目录。
```
mkdir cert_v3
cd cert_v3
```
创建工作目录并进入该目录。
```
mkdir ca
cd ca
```

创建CA证书的OpenSSL配置文件“ca_cert.conf”，内容如下：

[ req ]
 distinguished_name     = req_distinguished_name 
 prompt                 = no  

[ req_distinguished_name ]  
 O                      = mxManufacture
 CN                     = xxx.huawei.com
[ v3_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = critical, CA:true
keyUsage = critical, digitalSignature, cRLSign, keyCertSign

“CN”、“DNS”字段可以根据需求改为服务器对应的域名、IP地址。

“xxx.huawei.com”仅供参考，xxx需要根据实际情况修改，例如：mxmanufacture.huawei.com。

创建CA证书私钥文件“ca.key”。
```
openssl genrsa -aes256 -out ca.key 4096
```
请设置合理的密码强度，长度至少为8个字符，且包含数字、大写字母、小写字母、特殊符号中的两种及以上字符组合。

创建CA证书的csr请求文件“ca.csr”。

openssl req -out ca.csr -key ca.key -new -config ./ca_cert.conf

创建自签名的CA证书“ca.crt”。

openssl x509 -req -in ca.csr -out ca.crt -sha256 -days 1000 -extfile ./ca_cert.conf -extensions v3_ca -signkey ca.key

父主题： 自签名证书制作参考