Ubuntu 22.04 开发环境 CA 证书签发完整笔记（完整版）

Ubuntu 22.04 开发环境 CA 证书签发完整笔记

开发环境

• 前端： Vue3+TS+Vite+ESM
• 后端：NestJS
• 数据库：MySQL+Redis
• 虚拟机OS：Ubuntu 22.04 LTS

工作拓扑

开发环境参数（VS Code）

• 版本: 1.106.3 (Universal)
• Electron: 37.7.0
• ElectronBuildId: 12781156
• Chromium: 138.0.7204.251
• Node.js: 22.20.0
• V8: 13.8.258.32-electron.0
• OS: Darwin arm64 24.6.0

目录介绍

• CA核心目录：/opt/ca/root/（根CA私钥、证书、签发记录存放）

• 服务端目录：/opt/ca/server/（服务端私钥、CSR、证书存放）

• 客户端目录：/opt/ca/server/client/（客户端私钥、CSR、证书存放）

• 目标：生成根CA证书、NestJS服务端证书、Vue3客户端p12证书，完成验证与本地下载

一、前置准备

1. 检查OpenSSL版本（需1.1.1及以上）

openssl version

解释：Ubuntu 22.04默认已装，无需额外安装；若未装，执行以下命令（离线环境需提前下载deb包）：

sudo apt update && sudo apt install openssl -y

2. 创建标准化CA目录结构（权限先行）

创建完整目录并配置安全权限（私钥目录仅root可读，避免泄露）：

# 根CA核心目录（私钥严格保护） mkdir -p /opt/ca/root/{private,certs,csr,newcerts} chmod 700 /opt/ca/root/private # 仅root可进入 chown -R root:root /opt/ca/root # 目录归属root # 服务端（NestJS）目录 mkdir -p /opt/ca/server/{private,certs,csr} chmod 700 /opt/ca/server/private chown -R root:root /opt/ca/server # 客户端（Vue3）目录 mkdir -p /opt/ca/server/client/{private,certs,csr} chmod 700 /opt/ca/server/client/private chown -R root:root /opt/ca/server/client # 初始化CA签发必需文件（记录签发信息） touch /opt/ca/root/index.txt # 证书签发索引日志 echo 1000 > /opt/ca/root/serial # 证书序列号起始值（避免重复）

验证：执行以下命令确认目录结构完整：

ls -l /opt/ca/root/

预期输出：包含private/、certs/、csr/、newcerts/、index.txt、serial

二、步骤1：生成根CA私钥与自签证书

1. 生成根CA私钥（AES256加密）

进入根CA目录，生成加密私钥：

# 进入根CA目录 cd /opt/ca/root/ # 生成2048位AES256加密私钥 openssl genrsa -aes256 -out private/ca-root.key.pem 2048 # 权限锁死：仅root可读 chmod 400 private/ca-root.key.pem

交互说明：提示“Enter pass phrase”时，输入根CA密码（如CaRoot@2025!），务必牢记