（1）生成客戶端私鑰 （生成CA私鑰）
openssl genrsa -out ca.key 2048  //2048為長度

（2）生成CA證書
openssl req -x509 -new -nodes -key ca.key -subj "/CN=ctyuncdn.cn" -days 5000 -out ca.crt

接下來，生成server端的私鑰，生成數字證書請求，并用我們的ca私鑰簽發server的數字證書：

（1）生成服務端私鑰
openssl genrsa -out server.key 2048 //2048為長度

（2）生成證書請求文件
#openssl req -new -key server.key -subj "/CN=localhost" -out server.csr
openssl req -new -sha256 \
    -key server.key \
    -subj "/CN=localhost" \
    -reqexts SAN \
    -config <(cat /etc/pki/tls/openssl.cnf \
        <(printf "\n[SAN]\nsubjectAltName=DNS:localhost")) \
    -out server.csr

（3）根據CA的私鑰和上面的證書請求文件生成服務端證書
#openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 5000

openssl x509 -req -days 5000   \
    -in server.csr -out server.crt \
    -CA ca.crt -CAkey ca.key -CAcreateserial \
    -extensions SAN \
    -extfile <(cat /etc/pki/tls/openssl.cnf <(printf "[SAN]\nsubjectAltName=DNS:localhost"))