要创建证书,首先需要创建证书签名请求 (CSR)。 您可以将 CSR 发送给证书颁发机构,或者使用它来创建自签名证书。
OpenSSL 随大多数 GNU/Linux 分发软件安装。 要下载源代码或 Windows 二进制文件,请转到 http://www.openssl.org/,按照适用于您操作系统的相应安装说明进行操作。 可以使用 OpenSSL 将证书和证书签名请求从一种格式转换为另一种格式。 有关详细信息,请参阅 OpenSSL 手册页或在线文档。
要在证书颁发机构 (CA) 返回您的签名证书之前创建临时的自签名证书,请执行以下操作:
basicConstraints=CA:TRUE,pathlen:0
keyUsage=digitalSignature,keyEncipherment,keyCertSign,cRLSign
extendedKeyUsage=serverAuth
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid,issuer
此命令将在您的当前目录内创建一个有效期为 30 天的证书,其中包含您在之前步骤中创建的私钥和 CSR。
不能使用自签名证书进行 VPN 远程网关身份验证。 建议您使用可信任的证书颁发机构签署的证书。