¿Error al firmar Csr con la clave raíz Ca?

• El proceso para crear su propia autoridad certificadora es bastante sencillo:

  1. Crear una clave privada
  2. Autofirma
  3. Instale la CA raíz en sus distintas estaciones de trabajo // ????

• Una vez que haga eso, cada dispositivo que administre a través de HTTPS solo necesita tener su propio certificado creado con los siguientes pasos:

  1. Crear CSR para dispositivo
  2. Firmar CSR con clave de CA raíz /// ESTE PASO

Crear la clave raíz:

openssl genrsa -out rootCA.key 2048

autofirmar este certificado.

openssl req -x509 -new -nodes -key rootCA.key -days 1024 -out rootCA.pem

Crear un certificado (hecho una vez por dispositivo):

openssl genrsa -out device.key 2048
openssl req -new -key device.key -out device.csr
openssl x509 -req -in device.csr -CA root.pem -CAkey root.key -CAcreateserial -out device.crt -days 500

El último comando me está dando este error:

Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd/CN=192.168.1.108
Error opening CA Certificate root.pem
3078969068:error:02001002:system library:fopen:No such file or directory:bss_file.c:355:fopen('root.pem','r')
3078969068:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:357:
unable to load certificate

El root.pem existe en la misma carpeta ¿por qué no se ve?

Además, los primeros dos comandos me dieron dos archivos, root.key y root.pem :
no hay crt archivo para dar al navegador .

¿Qué pasa?

Respuesta aceptada:

Verifique el nombre de su certificado. Es inconsistente (root.pem en un comando, rootCA.pem en otro).

Puede instalar el root.pem archivo en los hosts de su cliente como se indica en el artículo, es su certificado de CA. PEM es un formato para certificado, existen otros. .crt es una extensión genérica. Puede cambiar el nombre de su certificado desde root.pem a root.crt si quieres.