1、生成服务器私钥(可以选择是否使用密码保护私钥,设置私钥密码的话,每次启动服务器搜需要输入该密码从而保证了私钥的安全性)
openssl genrsa -out client.key 4096

2、生成证书签名请求(CSR)。其中一个提示是 Common Name (e.g. YOUR name),这个非常重要,这一项应填入 FQDN(Fully Qualified Domain Name)完全合格域名/全称域名。例如*.test.com
openssl req -new -key client.key -out client.csr

3、使用上一步的证书签名请求签发证书
openssl x509 -req -days 365 -in client.csr -signkey client.key -out client.crt

4、以上三个步骤也可以通一个简单的方法,实现一步创建10年,无密码私钥(也能用-noenc替换-nodes)和证书:
openssl req -new -x509 -newkey rsa:4096 -keyout client.key -out client.crt -days 3650 -nodes

PS:
-new -x509:生成X509格式新证书
-newkey rsa:4096:使用长度为4096位的RSA密钥
-days 3650:有效期10年
-nodes(-noenc):不加密私钥