制作自签名泛域名证书

【写在前面的话】

出于测试的目的，有时候急需一张证书，一般申请的流程比较麻烦，而且泛域名证书收费，于是本文介绍一下自己制作一张自签名泛域名证书，设置一个比较长的期限，这样就可以方便测试啦~~

【目录】

1、制作自签名证书

2、腾讯云证书控制台配置

3、验证

【制作自签名证书】

一、预备工作

1、检查是否安装了openssl (一般自带有） rpm -qa | grep openssl

2、 预备工作：避免生成证书时 报错“ /etc/pki/CA/index.txt: No such file or directory ”

vim /etc/pki/tls/openssl.cnf 查到dir的目录，一般是/etc/pki/CA

cd /etc/pki/CA ls

执行 touch index.txt touch serial echo "01" > serial

3、开始生成证书

mkdir caroll-ca

cd caroll-ca

二、制作CA证书

openssl genrsa -des3 -out ca.key 2048

1、生成CA的私钥

输入密码，这里我输入1234

可以看到当前目录底下生成了ca.key

2、生成CA公钥

openssl req -new -x509 -days 7305 -key ca.key -out ca.crt

重复输入密码。这里我输入1234，然后填写一些信息，后面三项可以不填

当前目录底下生成公钥

三、制作网站的证书

1、生成证书私钥

openssl genrsa -des3 -out *.bigmen.cn.pem 1024

输入两次密码，这里我输入1234，然后可查到当前目录生成了对应的pem文件

2、 将私钥解密生成key

openssl rsa -in *.bigmen.cn.pem -out *.bigmen.cn.key

这一步很重要，否则拿到的是加密的私钥，无法直接使用 。这里之前的文章也有提过哟，不解密的话会在证书上传腾讯云控制台的时候报错，详情可以参考：https://cloud.tencent.com/developer/article/1452843

3、生成证书请求

openssl req -new -key *.bigmen.cn.pem -out *.bigmen.cn.csr

当前目录底下生成csr文件

四、证书签名

【证书签名】

openssl ca -policy policy_anything -days 1460 -cert ca.crt -keyfile ca.key -in *.bigmen.cn.csr -out *.bigmen.cn.crt

证书期限1460天就是4年

连续输入两个y

证书已经生成

【腾讯云控制台配置】

1、将证书托管上传

控制台搜索SSL，找到SSL证书界面

将上面说到.crt和.key文件放到对应位置，如下图

上传后的效果：

使用的时候直接选择即可，比如这里负载均衡使用对应的证书

【验证】

浏览器打开网址可以看到，正常使用泛域名证书，当然这里是自签名的会提示不安全，只是用于平时测试，不用于正式生产环境

【后记】

江湖人称佳爷~~专注于解决公有云各类问题，喜欢讨论，欢迎来撩~~