使用OpenSSL与GMSSL生成RSA和SM2证书的步骤指南

本文档主要介绍了如何使用OpenSSL和GMSSL工具来生成证书，包括RSA证书和SM2证书的创建过程。涉及到的关键操作有生成密钥对、创建证书请求、签署证书以及转换证书格式。 在生成证书的过程中，首先需要设置环境变量`LD_LIBRARY_PATH`指向当前目录，确保动态链接库能够被正确找到。接着，建立一个证书颁发机构（CA）的目录结构，包括存放证书、索引文件和序列号的文件夹。例如，创建一个名为`demoCA`的目录，其中包含`newcerts`、`index.txt`和`serial`文件。 在生成RSA证书时，使用`openssl genrsa`命令生成私钥，如`root.key`，然后使用`openssl req`创建证书请求文件`root.req`。接下来，使用`openssl x509`命令签署证书请求，设置有效期、算法和扩展项，生成根证书`root.crt`。同样的步骤可以用于生成服务器和客户端的证书。 对于SM2证书，GMSSL提供了与RSA类似但针对SM2算法的命令，如`gmssl rsa-pubout`用于将私钥转换为公钥。在签署服务器和客户端证书时，可以使用`openssl ca`命令，指定证书请求、根证书、私钥、有效期和配置文件，完成证书的签署。 此外，还提到了将证书转换为PKCS12格式，以便在某些应用程序中使用，如`openssl pkcs12`命令。此命令用于将私钥和证书打包成一个`.p12`文件，可设置密码保护。 在整个过程中，`openssl.cnf`配置文件是重要的，它定义了证书签发的规则和属性。如果在操作过程中遇到错误，例如“wrongnumberoffieldsonline1”提示，可能是因为配置文件中的字段数量不正确，需要检查并修正。 这个文档提供了全面的OpenSSL和GMSSL命令行操作指南，涵盖了从初始化CA环境到生成和签署各种类型证书的全过程，以及证书格式的转换。对于需要理解和操作SSL/TLS证书的IT专业人员来说，这是一个非常实用的参考资料。