Ну и раз уж такая тема подвернулась, поделюсь своей небольшой памяткой по тому, как работать с сертификатами
Создание корневого центра сертификации
===============================
- Создание ключа длиной 2048 и сохранение его в /etc/pki/CA/private/rootCA.key - держится в тайне

openssl genrsa -out /etc/pki/CA/private/rootCA.key 2048

- Создание корневого сертификата с использованием созданного ключа, сроком действия в 10000 дней и сохранение его в /etc/pki/CA/certs/rootCA.crt

openssl req -x509 -new -key /etc/pki/CA/private/rootCA.key -days 10000 -out /etc/pki/CA/certs/rootCA.crt

Country Name (2 letter code) [XX]:RU - обязательный параметр, остальные не обязательны
State or Province Name (full name) []:RU
Locality Name (eg, city) [Default City]:Moscow
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:tech
Common Name (eg, your name or your server's hostname) []:
Email Address []:

Полученный сертификат далее свободно распространяется и устанавливается как доверенный там где это нужно.

Создание запроса на выпуск сертификата подписанного корневым сертификатом
===============================================================

- Генерируем ключ /etc/pki/CA/private/domainkey.key для какого то домена длиной 2048, владельцы домена держат его в тайне

openssl genrsa -out /etc/pki/CA/private/domainkey.key 2048

- Создаем запрос на сертификат для домена mysite.ru с использованием созданного ключа и сохраняем его в /etc/pki/CA/certs/domainsert.csr

openssl req -new -key /etc/pki/CA/private/domainkey.key -out /etc/pki/CA/certs/domainsert.csr

Country Name (2 letter code) [XX]:RU - обязательно заполнять
State or Province Name (full name) []:RU
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:mysite.ru - обязательно заполнять
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Далее созданный реквест domainsert.csr передается корневому центру для выпуска сертификата

Выпуск корневым центром по запросу *.csr сертификата подписанного корневым сертификатом, сроком на 5000 дней в файле /etc/pki/CA/certs/domainsert.crt
==========================================

openssl x509 -req -in /etc/pki/CA/certs/domainsert.csr -CA /etc/pki/CA/certs/rootCA.crt -CAkey /etc/pki/CA/private/rootCA.key -CAcreateserial -out /etc/pki/CA/certs/domainsert.crt -days 5000

Создание промежуточного центра сертификации
===================================================
- Генерируем ключ /etc/pki/CA/private/ca2lvl.key для какого то iCA длиной 2048, владельцы промежуточного центра держат его в тайне

openssl genrsa -out /etc/pki/CA/private/ca2lvl.key 2048

- Создаем запрос на сертификат для промежуточного центра ca2lvl с использованием созданного ключа и сохраняем его в /etc/pki/CA/certs/ca2lvl.csr
Для этого создаем конфиг файл /etc/pki/CA/intemediate/ca2lvl.conf
-----------
[req]
distinguished_name=ca2lvl
[ca2lvl]
[ext]
basicConstraints=CA:TRUE,pathlen:0
------------
Потом создаем запрос с использованием ключа, конфиг файла по пути /etc/pki/CA/certs/ca2lvl.csr
openssl req -config /etc/pki/CA/intemediate/ca2lvl.conf -new -key /etc/pki/CA/private/ca2lvl.key -out /etc/pki/CA/certs/ca2lvl.csr -subj "/CN=ca2lvl" -extensions ext

В дальнейшем выпуск сертификата для промежуточного центра по запросу - показан выше, как и создание сертификата для домена
openssl x509 -req -in /etc/pki/CA/certs/ca2lvl.csr -CA /etc/pki/CA/certs/rootCA.crt -CAkey /etc/pki/CA/private/rootCA.key -CAcreateserial -out /etc/pki/CA/certs/ca2lvl.crt -days 5000
Подписание сертификатов - показано выше, как и подпиасние корневым сертификатом
openssl x509 -req -in /etc/pki/CA/certs/somecertreq.csr -CA /etc/pki/CA/certs/ca2lvl.crt -CAkey /etc/pki/CA/private/ca2lvl.key -CAcreateserial -out /etc/pki/CA/certs/somecertreq.crt -days 5000

Ответы: (9) (12)