---CA-server---


01 sign csr ---> crt

----to bulid CA---
# vi /etc/pki/tls/openssl.cnf(rhel6中不用改)
# openssl genrsa 1024 > /etc/pki/CA/private/cakey.pem
# openssl req -new -key /etc/pki/CA/private/cakey.pem -x509 -days 3650 -out /etc/pki/CA/cacert.pem
# mkdir /etc/pki/CA/newcerts
# touch /etc/pki/CA/index.txt
# echo 00 > /etc/pki/CA/serial

# openssl ca -in web.csr -out web.crt
# cp /etc/pki/CA/cacert.pem /var/ftp/pub/CA.crt


02 crt ---> web server
#scp web.crt 172.16.26.1:/root

---web-server---
01 mod_ssl
#yum install mod_ssl -y
#vi /etc/httpd/conf.d/ssl.conf
-----------------
112 SSLCertificateFile /etc/pki/tls/certs/web.crt
119 SSLCertificateKeyFile /etc/pki/tls/private/web.key
-----------------
02 cp key; crt
#cp web.crt /etc/pki/tls/certs/web.crt
#cp web.key /etc/pki/tls/private/web.key

#service httpd restart
#netstat -antulp | grep :443

 

---client---
01 access https://IP
02 import CA.crt

 

----test
开启selinux状态下,访问web服务器的443端口 https://