CA Issuer不会自动创建和管理签名密钥对,要么用户自己提供,要么通过诸如OpenSSL的工具生成一个自签名CA的新签名密钥对。例如,通过如下命令可以生成x509类型的密钥和证书:
创建一个CA私钥:
$ docker run -it -v $(pwd):/export frapsoft/openssl genrsa -out /export/ca.key 2048
创建一个自签名证书,有效期为10年,即3650天:
$ docker run -it -v $(pwd):/export frapsoft/openssl req -x509 -new -nodes -key /export/ca.key -subj "/CN=myexample.com" -days 3650 -reqexts v3_req -extensions v3_ca -out /export/ca.crt
这些命令的输出将是两个文件,ca.key以及ca.crt签名密钥对的密钥和证书。如果你已经有了自己的密钥对,你应该将私钥和证书分别命名为ca.key与ca.crt。