openssl req -x509 -new -key private_key.pem -config cfg -out selfcert.pem -days 365

Создание (-new) self-signed сертификата (-x509) для использования в качестве сертификата сервера или сертификата CA. Сертификат создаётся с использованием секретного ключа -key и конфигурационного файла -config. Создаваемый сертификат будет действителен в течение 365 дней (-days), опция -days не применима к запросам на сертификацию.

Для управления сертификатами x509 используется утилита openssl x509. С её помощью можно подписать сертификат или запрос на сертификацию сертификатом CA. Также можно просмотреть содержимое сертификата в читаемой форме (DN, публичный ключ, время действия, отпечаток и т. д.). Приведу примеры вышеописанных действий:

openssl x509 -in cert.pem -noout -text

Просмотреть информацию о сертификате в «нормальной» форме. Вот что примерно будет выведено, также можно использовать дополнительные опции: -fingerprint (необходимо сочетать с одной из опций -sha1, -md5 или -mdc2), -modulus (вывод публичного ключа), -serial, -subject, -issuer (организация, выдавшая сертификат), -email, -startdate, -enddate:

Certificate:

       Data:

          Version: 3 (0x2)

          Serial Number: 0 (0x0)

          Signature Algorithm: md5WithRSAEncryption

          Issuer: C=RU, ST=region, L=city, O=organization, OU=Sysopka,

CN=CEBKA/Email=CEBKA@smtp.ru

          Validity

             Not Before: Nov  9 08:51:03 2002 GMT

             Not After : Nov  9 08:51:03 2003 GMT

          Subject: C=RU, ST=region, L=city, O=organization, OU=Sysopka,

CN=CEBKA/Email=CEBKA@smtp.ru