群辉自带名为的synology的证书过期了,导致OpenVPN这些要用证书做认证的应用开不起来了。
但是群晖自带的延期也只是导出Key和Csr,签名还得自己来弄。
一番查找之后参考下面这个文章成功进行证书签名
https://blog.davy.tw/posts/use-openssl-to-sign-intermediate-ca/
# 根证书 openssl x509 -signkey server.key -in server.csr \ -extensions v3_ca -extfile z5.ext \ -req -days 365 \ -out server.pem # 中间证书 openssl x509 -req -in server.csr \ -CA server.pem -CAkey server.key \ -CAserial ca.serial -CAcreateserial \ -extensions intermediate_ca -extfile z5.ext \ -days 365 \ -out intermediate.pem |
这里用到的一个z5.ext内容如下
[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true
[ intermediate_ca ]
subjectKeyIdentifier = hash
authorityKeyIdentifier = keyid:always,issuer
basicConstraints = CA:true, pathlen:0
执行后会生成 server.pem 和 intermediate.pem
和DSM导出的 server.key 一并导入