在Ubuntu上管理OpenSSL证书主要涉及生成、查看、安装、更新及吊销等操作，以下是关键步骤：

1. 安装OpenSSL

sudo apt update  
sudo apt install openssl ca-certificates libssl-dev  

2. 生成证书

• 生成私钥：

  openssl genpkey -algorithm RSA -out private.key -aes256 2048  
  

• 生成证书签名请求（CSR）：

  openssl req -new -key private.key -out server.csr  
  

• 生成自签名证书：

  openssl x509 -req -days 365 -in server.csr -signkey private.key -out server.crt  
  

3. 查看证书信息

openssl x509 -in server.crt -text -noout  

4. 安装证书

• 将证书和私钥复制到系统目录（如/etc/ssl/certs/和/etc/ssl/private/），并设置权限：

  sudo cp server.crt /etc/ssl/certs/  
  sudo cp private.key /etc/ssl/private/  
  sudo chmod 600 /etc/ssl/private/private.key  
  

• 若需更新CA根证书，运行：

  sudo update-ca-certificates  
  

5. 吊销证书

• 编辑CA配置文件（/etc/ssl/openssl.cnf），确保启用CRL功能。
• 生成吊销列表（CRL）：

  openssl ca -config /etc/ssl/openssl.cnf -gencrl -out crl.pem  
  

• 撤销指定证书（需证书序列号）：

  openssl ca -config /etc/ssl/openssl.cnf -revoke certificate.crt -cert ca.crt -keyfile private.key  
  

• 更新CRL并分发至客户端：

  openssl ca -config /etc/ssl/openssl.cnf -gencrl -out crl.pem  
  

6. 验证证书

• 检查证书有效性：

  openssl verify -CAfile ca.crt server.crt  
  

注意事项

• 生产环境建议使用受信任CA签发的证书，避免自签名证书的安全风险。
• 私钥文件需严格保护，权限设置为600，仅限root用户访问。
• 证书过期前需提前更新，避免服务中断。