建立私有CA:

  在确定配置为CA的服务器上生成一个自签证书,并为CA提供所需要的目录及文件即可;


步骤:

(1) 生成私钥;

]# (umask 077; openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)

注意:文件名要与配置文件中的文件名一致;

]# ll /etc/pki/CA/private/:查看文件权限确保为600;


(2) 生成自签证书;

]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3655

  -new:生成新证书签署请求;

  -x509:生成自签格式证书,专用于创建私有CA时;

  -key:生成请求时用到的私有文件路径;

  -out:生成的请求文件路径;如果自签操作将直接生成签署过的证书;

  -days:证书的有效时长,单位是day;

  根据提示输入相关信息,完成即可;


提示输入:Country Name (2 letter code) [XX]:CN

提示输入:State or Province Name (full name) []:Beijing

提示输入:Locality Name (eg, city) [Default City]:Beijing

提示输入:Organization Name (eg, company) [Default Company Ltd]:MageEdu

提示输入:Organizational Unit Name (eg, section) []:Ops

提示输入:Common Name (eg, your name or your server's hostname) []:ca.magedu.com

    如果是个人通信为自己的名字,如果是服务器为服务器主机名;

提示输入:Email Address []:[email protected]


]# ls /etc/pki/CA/

查看要有certs crl newcerts这3个目录,如果没有要自行创建;


(3) 为CA提供所需的目录及文件;

]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

]# touch /etc/pki/CA/{serial,index.txt}

]# echo 01 > /etc/pki/CA/serial


在用到证书的服务器上操作:

1.创建一个目录存放主机的私钥;

2.生成私钥;

3.生成证书签署请求

4.将.csr文件请求通过可靠方式发送给CA主机;


步骤:(以httpd为例)

(1) 用到证书的主机生成私钥;

]# mkdir /etc/httpd/ssl 

]# cd /etc/httpd/ssl

]# (umask  077; openssl  genrsa -out  /etc/httpd/ssl/httpd.key  2048)


(2) 生成证书签署请求

]# openssl req -new -key /etc/httpd/ssl/httpd.key -out /etc/httpd/ssl/httpd.csr -days 365

    

根据提示输入相关信息,完成即可;


提示输入:Country Name (2 letter code) [XX]:CN

提示输入:State or Province Name (full name) []:Beijing

提示输入:Locality Name (eg, city) [Default City]:Beijing   

提示输入:Organization Name (eg, company) [Default Company Ltd]:MageEdu     

提示输入:Organizational Unit Name (eg, section) []:Ops

提示输入:Common Name (eg, your name or your server's hostname) []:www.magedu.com

    此处一定要为客户端访问的地址;

提示输入:Email Address []:[email protected]

提示输入:A challenge password []:可为空

提示输入:An optional company name []:可为空


(3) 将请求通过可靠方式发送给CA主机;

]# ls:生成一个httpd.csr文件,把此文件用可靠方式发送给CA主机;

实际应用时,是CA公司来人到现场取走文件;

实验环境,就是以scp命令,可实现两主机间复制文件;

]# scp httpd.csr [email protected]:/tmp/

  表示在本地复制httpd.csr文件,以远程主机172.18.250.131的root用户身份拷贝此文件到远程主机的/tmp/目录下

  输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;

就是实现了把httpd.csr文件拷贝的CA主机上;

                    

(4) 在CA主机上签署证书;

]# openssl ca -in /tmp/httpd.csr -out /etc/pki/CA/certs/httpd.crt -days 365

显示提示:Sign the certificate? [y/n]:y

显示提示:1 out of 1 certificate requests certified, commit? [y/n]y


把签署的证书httpd.crt发送给服务器主机:


在实验环境,还用scp两主机直接拷贝文件httpd.crt即可;

]# scp certs/httpd.crt [email protected]:/etc/httpd/ssl/

输入yes,确认连接,再输入远程主机root用户的登录密码,即可复制完成;


此时在服务器主机上的httpd.csr就没用了,可以删了;

在CA主机上的签署前的httpd.csr也没用了,也可以删了;

以上创建私有CA完成;


可在服务器主机或客户端主机上(只要有证书),都可查看证书;

]# openssl x509 -in /etc/pki/CA/certs/httpd.crt -noout -serial -subject