Закрытый ключ

Создание закрытого ключа:
host$ openssl genrsa -aes256 -out /path/to/private.key 2048

Пароль

Использование пароля для ключа необязательно, но строго рекомендуется. Защищённые ключи могут безопасно хранится, перевозится и резервироваться. Но с другой стороны, такие ключи неудобны, потому что не могут использоваться без ввода пароля. Например, у вас будет запрашиваться пароль при каждом перезапуске вашего веб-сервера. Для многих, это очень неудобно или имеет недопустимые последствия в вид недоступности сервера. К тому же, использование защищённых ключей в работе на самом деле не сильно повышают безопасность, если вообще повышают. Это потому, что при использовании ключ целиком без всякой защиты копируется в память приложения. Злоумышленник, имеющий доступ к серверу сможет получить его без особых усилий. Поэтому, парольная фраза должна рассматриваться только как механизм для защиты закрытых ключей когда они не установлены в рабочей системе. Другими словами, нормально хранить пароль рядом с ключом в рабочей системе. Это не идеальный вариант, но это лучше, чем использовать незащищённые ключи. Если вам нужна более надёжная защита, то вам надо вложиться в специальное оборудование для защиты.

Полный список параметров:

host$ openssl genrsa -help Usage: genrsa [options] Valid options are: -help Display this summary -3 Use 3 for the E value -F4 Use F4 (0x10001) for the E value -f4 Use F4 (0x10001) for the E value -out outfile Output the key to specified file -rand val Load the file(s) into the random number generator -writerand outfile Write random data to the specified file -passout val Output file pass phrase source -* Encrypt the output with any supported cipher -engine val Use engine, possibly a hardware device -primes +int Specify number of primes

Далее

создать сертификат с открытым ключом сервера
Убрать пароль с закрытого ключа