自建CA服务器&申请和颁发证书

创建私有CA：

openssl的配置文件：/etc/pki/tls/openssl.cnf  
三种策略：匹配、支持和可选 
匹配指要求申请填写的信息跟CA设置信息必须一致，支持指必须填写这项申请信息，可选指可有可无 

1、创建所需要的文件

touch /etc/pki/CA/index.txt     生成证书索引数据库文件     
echo 01 > /etc/pki/CA/serial        指定第一个颁发证书的序列号 

2、CA自签证书

生成私钥

cd /etc/pki/CA/
(umask 066; openssl genrsa -out  /etc/pki/CA/private/cakey.pem 2048) 

生成自签名证书

openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem  -days  7300  -out /etc/pki/CA/cacert.pem 
 -new: 生成新证书签署请求 
 -x509: 专用于CA生成自签证书 
 -key: 生成请求时用到的私钥文件 
 -days n：证书的有效期限 
 -out /PATH/TO/SOMECERTFILE: 证书的保存路径 

3、颁发证书

A 在需要使用证书的主机生成证书请求

给web服务器生成私钥

(umask 066; openssl genrsa -out   /etc/pki/tls/private/test.key 2048) 

生成证书申请文件

openssl req -new -key /etc/pki/tls/private/test.key -days 365 -out /etc/pki/tls/test.csr 

B 将证书请求文件传输给CA

scp   /etc/pki/tls/test.csr   CA-IP

C CA签署证书，并将证书颁发给请求者

openssl ca -in /tmp/test.csr –out    /etc/pki/CA/certs/test.crt -days 365 

注意：默认国家，省，公司名称三项必须和CA一致

D 将证书发给请求者client

 scp    /etc/pki/CA/certs/test.crt   client-IP  

E 查看证书中的信息：

openssl x509 -in /PATH/FROM/CERT_FILE -noout  -text|issuer|subject|serial|dates 
openssl  ca -status SERIAL  查看指定编号的证书状态 

4、吊销证书

A 在客户端获取要吊销的证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout  -serial -subject 

B 在CA上，根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致，

吊销证书：

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem 

C 指定第一个吊销证书的编号 注意：第一次更新证书吊销列表前，才需要执行

echo 01 > /etc/pki/CA/crlnumber 

D 更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem 

查看crl文件：

openssl crl -in /etc/pki/CA/crl.pem -noout -text