一、搭建私有CA服务器
1、安装包
# yum -y install openssl
2、生成密钥对儿
# cd /etc/pki/CA
# (umask 077;openssl genrsa -out private/cakey.pem 2048)
说明:()表示为子shell中执行,直接生成权限600的文件,666-077
3、生成CA自签证书(CA的根证书):
# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
-new:生成新证书签署请求
-x509:专用于CA生成自签证书
-key:生成请求用到的私钥文件
-days n:证书的有限期限
-out /PATH/TO/SOMECERTFILE:证书的保存路径,路径是根据/etc/pki/tls/openssl.cnf定的
4、CA目录下创建需要的文件:
# touch index.txt serial crlnumber
# echo 01 > serial
参考命令
yum -y install openssl cd /etc/pki/CA (umask 077;openssl genrsa -out private/cakey.pem 2048) openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 touch index.txt serial crlnumber echo 01 > serial
二、客户端申请证书
1、安装包
# yum -y install openssl
2、在主机上生成密钥(私钥)
保存至应用此证书的服务的配置文件目录下:(根据实际应用的要求选择目录,此处以httpd服务的配置目录为例)
# mkdir /etc/httpd/ssl
# cd /etc/httpd/ssl
# (umask 077; openssl genrsa -out httpd.key 1024)
3、生成证书申请文件
# openssl req -new -key httpd.key -out httpd.csr
4、将申请文件发往CA
# scp httpd.csr x.x.x.x
参考命令
yum -y install openssl mkdir /etc/httpd/ssl cd /etc/httpd/ssl (umask 077; openssl genrsa -out httpd.key 1024) openssl req -new -key httpd.key -out httpd.csr scp httpd.csr 192.168.1.100
三、CA服务器上签署证书
1、CA服务器上签署
#openssl ca -in httpd.csr -out httpd.crt -days DAYS
2、将证书传回请求者
# scp httpd.crt y.y.y.y
参考命令
openssl ca -in httpd.csr -out httpd.crt -days 365 scp httpd.crt 192.168.1.200