{ ssl } 自建CA、颁发证书

Cenos6环境

/etc/pki/CA
            newcerts #新颁发的证书
            private  #CA私钥
            crl      #吊销的证书
/etc/pki/tls
            certs    #存储证书
            private  #存储证书密钥
            openssl.cnf #主要配置文件

CA修改配置

#修改组织、省份等信息
vim /etc/pki/tls/openssl.cnf

＃生成serial、index
touch index.txt serial
echo 01 > serial

CA根密钥

# cd /etc/pki/CA/
# openssl genrsa -out private/cakey.pem 2048

CA根证书

#
openssl req -new -x509 -key private/cakey.pem -out cacert.pem

---

客户端使用(nginx or aliyun slb)

# ssl密钥
openssl genrsa -out /path/to/client.key 2048
# 证书签署请求
openssl req -new -key /path/to/client.key -out /path/to/client.csr
# 私有CA根据请求签署证书
openssl ca -in /path/to/client.csr -out /path/to/client.crt