配置私有CA

CA配置信息 /etc/pki/tls/openssl.cnf

1, 创建所需要的文件

Touch /etc/pki/CA/index.txt 存放证书数据库文件,需要手工创建

Echo 01 > /etc/pki/CA/serial 指定16位进制的证书标号

2.centos7上搭建CA先生成私钥

(umask 066;openssl genrsa -out private/cakey.pem -des 2048)

3 openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem(自己私钥地址) -days 7300 -out /etc/pki/CA/cacert.pem(生成的证书地址)

生成自签名证书

req 请求

-x509自签名证书

加这个表示自己给自己签名

不加这个 表示申请证书

4客户端申请证书,自己先要有私钥文件

最终centos6客户端会有3个文件,一个私钥文件,一个申请文件,一个颁发的证书

申请的证书一般放在应用的目录下例如conf.d

生成私钥 (umask066;openssl genrsa -out app.key 1024)

生成证书申请 openssl req -new -key app.key -out app.pem 时间和x509都可以不用添加

将证书申请传到CA(centos7服务器)

Scp

5 CA生成证书

openssl ca -in app.csr -out certs/app.crt -days 730

-out后跟生成证书的地址,配置文件规定的不能变

不能缺 touch index.txt

编号 echo 01 > serial 都是在CA目录下