1.修改 openssl 配置文件

vi /etc/pki/tls/openssl.cnf

# match 表示后续生成的子证书的对应项必须和创建根证书时填的值一样，否则报错。以下配置只规定子证书的 countryName 必须和根证书一致。[ policy_match ] 段配置改成如下：countryName = matchstateOrProvinceName = optionalorganizationName = optionalorganizationalUnitName = optionalcommonName = suppliedemailAddress = optional

2.在pki 的 CA 目录下新建两个文件

cd /etc/pki/CA && touch index.txt serial && echo 01 > serial

3.生成 CA 根证书密钥

cd /etc/pki/CA/ && openssl genrsa -out private/cakey.pem 2048 && chmod 400 private/cakey.pem

4.生成根证书(根据提示输入信息，除了 Country Name 选项需要记住的，后面的随便填)

openssl req -new -x509 -key private/cakey.pem -out cacert.pem

5.生成密钥文件

openssl genrsa -out nginx.key 2048

6.生成证书请求文件(CSR)

    A. 根据提示输入信息，除了 Country Name 与前面根证书一致外，其他随便填写
B. Common Name 填写要保护的域名，比如：*.qhh.me

openssl req -new -key nginx.key -out nginx.csr

7.使用 openssl 签署 CSR 请求，生成证书

openssl ca -in nginx.csr -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -days 36500 -out nginx.crt

    参数项说明：
-in: CSR 请求文件
-cert: 用于签发的根 CA 证书
-keyfile: 根 CA 的私钥文件
-days: 生成的证书的有效天数
-out: 生成证书的文件名

8.将nginx.key转成.pk8格式

openssl pkcs8 -in nginx.key -topk8 -outform DER -out nginx.pk8 -nocrypt

9.将nginx.crt转换成x509.pem

openssl x509 -inform pem -in nginx.crt -out nginx.x509.pem

10.签名apk

java -Xmx2048m -Djava.library.path="Android9.0/LINUX/android/prebuilts/sdk/tools/linux/lib64" -jar signapk.jar nginx.x509.pem nginx.pk8 app-release.apk new.apk

参考文章https://blog.csdn.net/qianghaohao/article/details/90314163