之前小沃发布过三步生成nginx自签名证书的文章，如果大家感兴趣，可以回顾一下。这次小沃是教大家如何先生成ca机构，然后再生成自签名证书，方法虽然麻烦点，但是如果目的不仅仅是加密，还有验证合法性来说效果就要好很多了。

一、生成ca机构证书

openssl genrsa -out ca.key 4096

openssl req -new -x509 -days 3650 -key ca.key -out ca.crt

执行第二句话时会收到各种企业资料，一般所生成的ca.crt证书会分发给各大企业，用来验证。

如果想要添加使用时的密码保护，第一句话应改为

openssl genrsa -des3 -out ca.key 4096

也就是添加-des3

二、生成网站证书

openssl genrsa -out server.key 4096

openssl req -new -key server.key -out server.csr

openssl x509 -req -days 3650 -in server.csr -CA ca.crt -CAkey ca.key -set_serial 01 -out server.crt

其中，-set_serial为指定的相同对象签发次数。

执行第3步需要输入各种资料可参考三步生成nginx自签名证书

如果想要添加使用时的密码验证，第一句话需要改为

openssl genrsa -des3 -out ca.key 4096

也就是添加-des3

文章作者：沃航科技