如何生成自签名双向认证证书 ssl

1创建CA私钥: cakey

2创建根证书请求文件cacsr:

这里需要填入配置信息：

3自签根证书cacer：

4这一步可做可不做生成p12格式根证书cap12(密码填写123456,之前cacsr的密码,ps:这里输入的时候是不可见的输入完成后回车即可)

5生成服务端私钥key serverkey:

6生成服务端请求文件 servercsr

填入证书配置信息：

servercsr

7生成服务端证书servercer（cacer，cakey，servrkey，servercsr这4个生成服务端证书）:

8生成客户端key clientkey:

9生成客户端请求文件clientcsr:

填入证书配置信息:
10生成客户端证书 clientcer:
11可做可不做生成客户端p12格式根证书clientp12(密码设置123456)：

至此，证书就制作完毕了：
原因：请求没有带上ca证书，无法校验服务器的证书 

解决方法1：

curl 加上-cacert ca证书 校验服务器证书

解决方法2：

curl 加上-k 可以不校验服务器证书。
网上给出的答复是：

Whatever method you use to generate the certificate and key files, the Common Name value used for the server and client certificates/keys must each differ from the Common Name value used for the CA certificate Otherwise, the certificate and key files will not work for servers compiled using OpenSSL

When OpenSSL prompts you for the Common Name for each certificate, use different names

解决方案：

参考文档链接：>SSL 配置是我们在实际应用中经常见到的场景
SSL ( Secure Sockets Layer ,安全套接层)是为通信提供安全及数据完整性的一种安全协议， SSL 在网络传送层对网络连接进行加密。 SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通信提供安全支持。
SSL 协议可分为两层：

我们需要构建一个由 CA 机构签发的有效证书，这里我们先生成的自签名证书 zlexcer ( 具体生产证书密钥步骤点此了解 )
这里，我们将证书导入到我们的密钥库。

其中：

在这里我使用的密码为654321

控制台输出：

接下来我们将域名 > 现在通过地址栏访问 >对于 NGINX 的 >