生成自签名ca证书

UTC时区的位置是【Africa/Casablanca】
ubuntu上设置时区:dpkg-reconfigure tzdata
centos上设置时区:tzselect
设置时间:date -s “1970/01/01 01:00:00.000”
上面这些操作,是为了生成1970年开始的证书

1.安装必要工具

apt-get install easy-rsa
# 修改vars文件
cd /usr/share/easy-rsa/
vi ./vars

# 修改注册信息,比如公司地址、公司名称、部门名称等。
export KEY_COUNTRY="CN"
export KEY_PROVINCE="Shanghai"
export KEY_CITY="Shanghai"
export KEY_ORG="my company"
export KEY_EMAIL="xxx@qq.com"
export KEY_OU="my ou"
# 初始化环境变量
source ./vars

# 清除keys目录下所有与证书相关的文件
# 下面步骤生成的证书和密钥都在/usr/share/easy-rsa/keys目录里
./clean-all
# 生成根证书ca.crt和根密钥ca.key(一路按回车即可)
./build-ca
# 为服务端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key-server server
# 为客户端生成证书和密钥(一路按回车,直到提示需要输入y/n时,输入y再按回车,一共两次)
./build-key client1
# 创建迪菲·赫尔曼密钥,会生成dh2048.pem文件(生成过程比较慢,在此期间不要去中断它)
./build-dh