其实，它是一个自签署证书，此时CA已进行了自签署，而形成了根证书。其中依然有公钥和私钥。公钥可以发布，用于确认服务器证书的合法性。
　　
　　2、建立服务器的“证书签署请求(certificate signing request - CSR)”，即签署请求证书
　　
　　同时也将它做为服务器的私有密钥
　　
　　# openssl req -newkey rsa:1024 -nodes -keyout newreq.pem -out newreq.pem
　　
　　其它没什么，对于“Common Name”则一定要小心，此处应该填入服务器的FQDN(fully-qualified distinguished name)，即运行OpenLDAP的服务器的完整名称，而不是一般的简写名称。如果你的服务器有多个名称，就先把主名填入这里，而对于其它的别名，则可以利用openssl.cnf文件里的subjectAltName。例如：
　　subjectAltName=DNS:alias1.domain1,DNS:host2.domain2,DNS:*.domain3
　　
　　关于FQDN，对于unix或linux的用户来说应该不陌生，实际上在你安装系统时，配置IP地址那个地方就已经进行FQDN的设定。现在想知道你的服务器的FQDN的方法，可以通过执行
　　
　　# hostname
　　
　　得到，或查看/etc/rc.conf。
　　
　　我的自己的名字就是：myth.unix.cn。据说90%的错误都出在这里。
　　
　　查看newreq.pem的内容：
　　
　　# openssl req -noout -text -in newreq.pem
　　
　　3、使用前面的CA证书签署CSR，得到签署后的证书，可以发布
　　
　　此证书也称为服务器证书，里面主要包含了证书的签署机构、服务器的公钥以及服务器的全域名（FQDN）等等。其有效性可以通过使用CA证书的公钥，即demoCA/cacert.pem来进行确认。主要用于对此服务器的验证。
　　
　　# /usr/local/openssl/misc/CA.sh -sign
　　
　　注意，不要出错，尤其是密码不要错了。除此以外，另外还有两次确认选项。
　　
　　Using configuration from /etc/ssl/openssl.cnf
　　Enter pass phrase for ./demoCA/private/cakey.pem:
　　Check that the request matches the signature
　　Signature ok
　　Certificate Details:
　　Serial Number: 1 (0x1)
　　Validity
　　Not Before: Nov 18 17:11:48 2004 GMT
　　Not After : Nov 18 17:11:48 2005 GMT
　　Subject:
　　countryName = CN
　　stateOrProvinceName = Some-State
　　organizationName = Internet Widgits Pty Ltd
　　commonName = myth.unix.cn
　　X509v3 extensions:
　　X509v3 Basic Constraints:
　　CA:FALSE
　　Netscape Comment:
　　OpenSSL Generated Certificate
　　X509v3 Subject Key Identifier:
　　EC:5A:A3:89:D0:24:7F:83:70:25:E6:A6:CA:D8:35:09:5A:65:70:E3
　　X509v3 Authority Key Identifier:
　　keyid:4E:A0:2B:E4:B2:BB:01:9B:5D:12:7D:90:79:40:22:36:8B:29:28:AC
　　DirName:/C=CN/ST=Some-State/O=Internet Widgits Pty Ltd/CN=abc.cn
　　serial:00
　　
　　Certificate is to be certified until Nov 18 17:11:48 2005 GMT (365 days)
　　Sign the certificate? [y/n]:y
　　
　　1 out of 1 certificate requests certified, commit? [y/n]y
Write out database with 1 new entries
　　Data Base Updated
　　Certificate:
　　Data:
　　Version: 3 (0x2)
　　Serial Number: 1 (0x1)
　　Signature Algorithm: md5WithRSAEncryption
　　Issuer: C=CN, ST=Some-State, O=Internet Widgits Pty Ltd, CN=abc.cn
　　Validity
　　Not Before: Nov 18 17:11:48 2004 GMT
　　Not After : Nov 18 17:11:48 2005 GMT
　　Subject: C=CN, ST=Some-State, O=Internet Widgits Pty Ltd, CN=myth.unix.cn
　　Subject Public Key Info:
　　Public Key Algorithm: rsaEncryption
　　RSA Public Key: (1024 bit)
　　Modulus (1024 bit):