03-创建CA（自签名）

A.1.1　创建CA（自签名）

如果在实验环境操作，只需要完成下面的步骤，来搭建签名证书所需的CA。当然，这也只是构建一个简单的CA，方便演示如何配置Docker，并不会尝试构建生产环境级别PKI。

在实验环境CA节点运行下面的命令。

（1）为CA创建新的私钥。

在操作过程中需要设置密码。

$ openssl genrsa -aes256 -out ca-key.pem 4096
Generating RSA private key, 4096 bit long modulus
...............................................++
..++
e is 65537 (0x10001)
Enter pass phrase for ca-key.pem:
Verifying - Enter pass phrase for ca-key.pem:

在当前目录下会生成一个名为 ca-key.pem 的新文件，这就是CA私钥。

（2）使用CA私钥来生成公钥（证书）。

需要输入前面过程中设置的密码。

$ openssl req -new -x509 -days 730 -key ca-key.pem -sha256 -out ca.pem

工作目录下又出现第二个文件，名为 ca.pem ，这是CA的公钥，或者说“证书”。

现在当前目录下有了两个文件： ca-key.pem 和 ca.pem ，这就是CA的私钥和公钥，也是CA的身份凭证。