1、openssl生成CA根证书

        1.1、生成CA私钥

         openssl genrsa -out root_ca.key 2048

         注意：私钥必须妥善保管，既不能丢失，也不能泄露。如果发生丢失和泄露，必须马上重新

        生成，以使旧的证书失效。

        1.2、通过ca私钥生成pem格式的ca根证书

         openssl req -x509 -new -nodes -key root_ca.key -sha256 -days 36500 -out root_ca.pem

         接下来需要填写：

        注意：‘-days 36500’代表生成的根证书的有效期为36500天，下面的参数根据实际填写即可。

2、用根证书签发server证书

        2.1、生成服务端私钥：

         openssl genrsa -out http_server.key 2048

        2.2、新建server_req.conf文件：

         注意：

        2.3、生成证书签名请求：

         openssl req -new -key ./http_server.key -config server_req.conf -out http_server.csr

        2.4、生成最终服务端证书

              用请求文件、根证书、私钥、server_req.conf，签发新的服务端证书：http_server.pem，

        设置有效期为36500天。

openssl x509 -req -in ./http_server.csr -CA root_ca.pem -CAkey root_ca.key -CAcreateserial -out   http_server.pem -days 36500 -sha256 -extensions v3_req -extfile server_req.conf

3、用根证给签发client证书

        3.1生成客户端私钥

         openssl genrsa -out xxxxx.key 2048

         注意：文件名为：xxxxx。

        3.2、生成客户端证书签名请

openssl req -new -key xxxxx.key -out xxxxx.csr -subj "/C=CN/ST=Shanghai/L=Shanghai/O=Shanghai/CN=xxxxx"

         注意：文件名、参数CN值，应该保持一致，都为xxxxx。

        3.3、签发客户端证书

         用证书请求文件、根证书、私钥，签发客户端证书：xxxxx.pem，设置有效期为36500天。文件名为：xxxxx。

openssl x509 -req -days 36500 -in xxxxx.csr -CA root_ca.pem -CAkey root_ca.key -CAcreateserial -out xxxxx.pem

4、当更换服务端的IP或者域名时

        当迁移服务器，导致服务端IP变更，或者客户端访问服务端的域名发生变更时，我们该如何更换自签名证书？

        4.1、当服务端的IP发生变更时：

         只需要将新的IP地址更新到server_req.conf 文件里alt_names 的IP列里面，然后用server_req.conf文件重新生成服务端证书签名请求，再重新生成服务端证书，用新证书替换原有的服务端旧证书，再重启ac-gateway-http服务，设备端不用变更证书，就可以直接访问新服务器了。

        4.2、当服务端的域名发生变更时：

         当服务端是以域名地址提供对外服务时，当域名地址变更时，我们除了要将新的域名地址更新到server_req.conf 文件里alt_names 的DNS列里面，还要将req_distinguished_name中的 commonName值更新成新的域名地址，然后用server_req.conf文件重新生成服务端证书签名请求，再重新生成服务端证书，用新证书替换原有的服务端旧证书，然后重启ac-gateway-http服务，设备端不用变更证书，就可以直接访问新服务器了。