你说得没错，PHP内置的openssl_csr_sign()函数确实只是完成了证书签名的基础操作，和openssl x509 -req的行为一致，没有实现openssl ca命令里的CA生命周期管理功能（比如维护证书数据库、自动递增序列号、遵循openssl.cnf里的CA规则等）。下面给你两种可行的解决方案：

方案一：直接调用系统的openssl ca命令 #

这是最直接的方式，因为openssl ca已经封装了所有CA管理的逻辑，我们可以通过PHP的系统调用函数来执行它，完全复用你现有的openssl.cnf配置和CA目录结构。

示例代码如下：

<?php
// 定义CA相关路径
$caCertPath = '/path/to/ca.crt';
$caKeyPath = '/path/to/ca.key';
$caKeyPassphrase = 'your-ca-key-passphrase'; // 如果CA密钥有密码的话
$csrPath = '/path/to/request.csr';
$outputCertPath = '/path/to/signed.crt';
$opensslCnfPath = '/path/to/openssl.cnf';

// 构造openssl ca命令，注意转义参数避免注入风险
$command = sprintf(
    'openssl ca -cert %s -keyfile %s -passin pass:%s -in %s -out %s -config %s -batch',
    escapeshellarg($caCertPath),
    escapeshellarg($caKeyPath),
    escapeshellarg($caKeyPassphrase),
    escapeshellarg($csrPath),
    escapeshellarg($outputCertPath),
    escapeshellarg($opensslCnfPath)
);

// 执行命令并获取输出
exec($command, $output, $returnVar);

// 检查执行结果
if ($returnVar !== 0) {
    die("证书签名失败：" . implode("\n", $output));
}

echo "证书已成功签名并保存到 {$outputCertPath}";
?>

注意事项：

• 确保PHP进程（比如www-data用户）对CA目录（包括index.txt、serial文件等）有读写权限
• 始终用escapeshellarg()转义路径和参数，避免命令注入风险
• 加上-batch参数可以自动批准请求，跳过交互确认步骤

方案二：手动实现CA管理逻辑 #

如果不想依赖系统命令，你可以基于PHP的openssl扩展，自己实现CA的核心管理逻辑，包括序列号维护、证书数据库记录等。

大致步骤如下：

1. 维护序列号：从serial文件读取当前序列号，递增后写回（注意保证原子性，避免并发冲突）
2. 签名证书：使用openssl_csr_sign()时指定自定义序列号，同时传入openssl.cnf的规则配置
3. 更新证书数据库：手动向index.txt文件添加符合openssl规范的证书记录

示例代码片段：

<?php
// 处理序列号（加文件锁保证原子性）
$serialFile = '/path/to/ca/serial';
$fp = fopen($serialFile, 'r+');
flock($fp, LOCK_EX);
$serial = trim(fgets($fp));
$newSerial = dechex(hexdec($serial) + 1);
ftruncate($fp, 0);
rewind($fp);
fwrite($fp, $newSerial . "\n");
flock($fp, LOCK_UN);
fclose($fp);

// 加载CA密钥和证书
$caKey = openssl_pkey_get_private('file:///path/to/ca.key', 'your-passphrase');
$caCert = file_get_contents('/path/to/ca.crt');

// 配置签名参数
$configArgs = [
    'digest_alg' => 'sha256',
    'x509_extensions' => 'v3_ca', // 对应openssl.cnf中的扩展段
    'days' => 365,
];

// 签名CSR，指定自定义序列号
$certResource = openssl_csr_sign('/path/to/request.csr', $caCert, $caKey, 365, $configArgs, hexdec($newSerial));

// 导出并保存证书
openssl_x509_export($certResource, $certContent);
file_put_contents('/path/to/signed.crt', $certContent);

// 更新证书数据库index.txt
$certInfo = openssl_x509_parse($certResource);
$expiryStr = date('ymdHisZ', $certInfo['validTo_time_t']);
$record = "V\t{$expiryStr}\t\t{$certInfo['serialNumber']}\tunknown\t/CN={$certInfo['subject']['CN']}\n";
file_put_contents('/path/to/ca/index.txt', $record, FILE_APPEND);
?>

注意事项：

• 序列号处理必须加文件锁，避免多进程同时修改导致序列号重复
• 要严格遵循openssl的数据库格式，否则后续用openssl工具管理CA时会出错
• 如果需要支持证书撤销（CRL），还需要自行维护CRL文件的生成和更新逻辑

内容的提问来源于stack exchange，提问作者Nico