基于centos7系统下建立私有CA证书颁发机构

背景：公司自己内部使用的CA证书机构，可以尝试自己创建一个私有CA证书颁发机构，体验了解下CA的原理过程。

在Centos 7系统下创建CA证书机构，然后利用Centos6 模拟部分向总部申请CA证书

CA证书所在的目录以及目录的作用

其中两个文件是需要自己来创建的：框中所示

一：创建私有CA证书机构

#1.在/CA/private/目录下创建cakey.pem私钥 
（umask 077;openssl genrsa -out private/cakey.pem 4096）
#2.在CA目录下生成cacert.pem 填写对应信息 如图2.1
openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 3650
#查看生成的pem文件
openssl x509 -in /etc/pki/CA/cacert/pem -noout -text
#创建对应的index.text文件 此文件用来记录申请的所有证书信息
touch /etc/pki/CA/index.txt 
# 创建serial 0F 表示证书的编号 15
echo 0F > /etc/pki/CA/serial

至此,私有CA证书机构就创建完成了

图2.1

二：申请证书（此处以centos6 模拟部门）

#1.生成自己的私钥
(umask 066;openssl genrsa -out app.key 1024)
#2.申请自己的csr证书 填写对应的信息 图2.2.1所示 其中箭头四项要和图2.1前四项一致才可以
openssl req -new -key app.key -out app.csr
#3.将申请的csr证书传给centos 7 服务器，模拟向CA机构发送证书申请签名
scp  app.csr centos7主机IP:/centos7主机目录地址
接下来就是centos 7进行证书审核和颁发

图2.2.1

三：颁发证书

#1.对centos6 发过来的证书进行验证签名 
# -days 100 表示证书有效期是100天
#ca 表示证书签名 成功如图3.1所示
#生成的crt 证书在/certs/目录下，再传回给部门即可
openssl ca -in /data/csr/app.csr -out /etc/pki/CA/certs/app.crt -days 100

图3.1