openssl 证书制作过程

总体步骤就是:

1、得有个CA内部机构(服务端)

2、这个CA服务端为了声明自身合法,得先自签署个证书出来

3、然后客户端,得有私钥,然后私钥生成个可以被签署的文件

4、客户端把这个需要签署的文件,传递给CA服务端

5、CA服务端成功签好了,把签好的文件,传给客户即可,.

*********操作如下***************


生成openssl机构证书:

CA服务器端:

1.编辑openssl.conf文件

#vim/etc/pki/tls/ openssl.conf

dir=../../CA

修改为

dir             = /etc/pki/CA


ountryName             = match

stateOrProvinceName     = match

organizationName        = match

改为

ountryName             = optional

stateOrProvinceName     = optional

organizationName        = optional

作用是不用匹配国家、省份、城市照样能使用证书服务器,否则申请证书必须跟CA证书在同一个国家、身份、城市

才能申请证书。


2.创建配置文件所需的目录和文件。

#cd /etc/pki/CA

#mkdir certs crl newcerts

#touch index.txt

#echo "01" > serial

3.CA服务器自签证书


#openssl genrsa 1024 > private/cakey.pem   #生成证书秘钥

#chmod 600 private/cakey.pem#修改权限


#openss req -new -x509 -key private/cakey.pem -out cacert.pem -days 3656 #生成证书


 x509生成自签证书必备选项,有效期为3650天

然后依次输入:国家、省、城市、公司、部门、主机名、邮件地址


证书的申请方:以apache服务器为例


yum -y install mod_ssl  #安装apache证书模块


生成web证书:

1.建立ssl 目录

#mkdir -pv /etc/httpd/ssl

#cd /etc/httpd/ssl


#(umask 077; openssl genrsa 1024 >httpd.key) #生成秘钥


#openssl req -new -key httpd.key -out httpd.csr  #生成证书请求文件


#openss ca -in http.csr -out httpd.crt -days 3656 #用证书请求文件向CA服务请求证书

2.修改httpd的ssl.conf的配置文件,

#vim /etc/httpd/conf.d/ssl.conf

SSLCertificateFile /etc/httpd/ssl/httpd.crt

CertificateKeyFile /etc/httpd/ssl/httpd.key

3.查看证书信息

#openssl x509 -text -in httpd.crt 查看已签署的证书信息