每次刷新新的Linux设备时,我都使用OpenSSL生成新的签名证书。命令如下:
openssl genrsa -out deviceCert.key 2048
openssl req -new -key deviceCert.key -out deviceCert.csr -subj "/C=$country/ST=$state/L=$locality/O=$organization/OU=$organizationalunit/CN=$commonname/emailAddress=$email"
openssl x509 -req -in deviceCert.csr -CA myiotCAcert.pem -CAkey myCAprivatekey.key -CAcreateserial -out deviceCert.crt -days 32786
这将生成一个私钥 deviceCert.key 和证书 deviceCert.crt 。
myCApricatekey.key 和 myiotCAcert.pem 是我的根CA私钥和证书,它们与在生成期间对所有新设备证书进行签名所使用的完全相同。
问题是,我遇到一种情况,正在生成与现有证书和密钥相同的设备证书和密钥。这是不可接受的,因为每次都必须唯一。
我认为上述OpenSSL命令应该每次生成随机且唯一的密钥和证书?这是正确的,还是应该在命令中添加更多随机性?