OpenSSL自签名证书

生成

1. 生成根证书的私钥（root_private_key.pem）

首先，您需要为根证书生成一个私钥。这通常是一个RSA或EC私钥。

• 注意 centos8 秘钥长度低于2048位会报错

openssl genpkey -algorithm RSA -out root_private_key.pem -pkeyopt rsa_keygen_bits:4096

2. 创建根证书的CSR和自签名证书（root_csr.pem）

接下来，使用根证书的私钥生成一个证书签名请求（CSR），并自签名该CSR以生成根证书。
其中CN=My Root CA 可以修改为你需要的根域名

# 创建根证书的CSR  
openssl req -new -key root_private_key.pem -out root_csr.pem -subj "/C=US/ST=California/L=San Francisco/O=My Root CA/CN=My Root CA"

在下面的命令中，-extensions v3_ca 指示 OpenSSL 使用名为 v3_ca 的扩展配置。
需要创建一个包含这些扩展的配置文件，并在其中定义 v3_ca 段落
可以写在服务器证书配置的openssl.cnf文件中, 下面为了好区分所以分开写：

vim v3_ca
#添加下面文本
[v3_ca]  
basicConstraints = CA:TRUE  
keyUsage = keyCert