使用CA证书签发服务器证书

登录到生成CA证书的服务器。
进入“cert_v3”目录，创建与ca平级的目录server，并进入该目录。
```
mkdir server
cd server
```

创建服务器证书的OpenSSL配置文件“server_cert.conf”，内容如下：

[ req ] 
distinguished_name     = req_distinguished_name 
prompt                 = no  
[ req_distinguished_name ]  
O                      = mxManufacture  
CN                     = xxx.huawei.com
[ v3_ca ]
authorityKeyIdentifier = keyid,issuer
basicConstraints = CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = @alt_names
[ alt_names]
DNS.1 = xxx.huawei.com

“CN”、“DNS”字段可以根据需求改为服务器对应的域名、IP地址。

“xxx.huawei.com”仅供参考，“xxx”需要根据实际情况修改，例如：mxmanufacture.huawei.com。

创建服务器证书私钥文件“server.key”。
```
openssl genrsa -aes256 -out server.key 4096
```
请设置合理的密码强度，长度至少为8个字符，且包含数字、大写字母、小写字母、特殊符号中的两种及以上字符组合。

创建服务器证书的csr请求文件“server.csr”。

openssl req -out server.csr -key server.key -new -config ./server_cert.conf

使用CA证书签发服务器证书“server.crt”。

openssl x509 -req -in server.csr -out server.crt -sha256 -CAcreateserial -days 1000 -extfile ./server_cert.conf -extensions v3_ca -CA ../ca/ca.crt -CAkey ../ca/ca.key

父主题： 自签名证书制作参考