我有私钥(my_ca.key)和由DigiCert签名的公钥(my_cert.crt)。现在我想生成SSL证书(版本3)并使用我的私钥进行签名。以下是我尝试做到这一点的方法。但是,当我导出到钥匙链(Mac OS X)时,我一直收到类似于“此证书具有无效的发行者密钥链”的错误。不知道如何解决这个问题。my_cert.crt是从DigiCert High Assurance CA-3扩展的,而那个又是从DigiCert High Assurance EV Root CA扩展的。还将DigiCert High Assurance CA-3、DigiCert High Assurance EV Root CA添加到了钥匙链中。它显示my_cert.crt是有效的。为什么会出现这种错误?
######### Initialization
SSL_SUBJ="/C=LK/ST=Colombo/L=Colombo/O=wso2/OU=laptop/CN=mdm.go.com"
########SSL Certificate
echo "\nGenerating SSL Certificate >>>>>> START"
openssl genrsa -out ia.key 4096
openssl req -new -key ia.key -out ia.csr -subj "$SSL_SUBJ"
openssl x509 -req -days 365 -in ia.csr -CA my_cert.pem -CAkey my_ca.pem -set_serial 765644787 -out ia.crt -extensions v3_ca -extfile ./openssl.cnf
echo "\nGenerating SSL Certificate >>>>>> END \n"
openssl pkcs12 -export -out ia.p12 -inkey ia.key -in ia.crt -CAfile my_cert.pem -name sslcert -passout pass:password
注意:在/etc/hosts中添加了自定义条目,将IP地址映射到SSL证书CN上,并且为了测试,服务器和客户端位于同一台机器上。
