创建私有CA 颁发免费的CA证书

证书申请及签署步骤：

          1、生成申请请求 

          2、RA核验 

          3、CA签署

          4、获取证书

创建私有CA：

           要用到的命令openssl
           openssl的配置文件：/etc/pki/tls/openssl.cnf
三种策略：匹配、支持和可选
           匹配指要求申请填写的信息跟CA设置信息必须一致

           支持指必须填写这项申请信息

           可选指可有可无
 1、创建所需要的文件
          touch /etc/pki/CA/index.txt 生成证书索引数据库文件

          echo 01 > /etc/pki/CA/serial 指定第一个颁发证书的序列号

查看openssl 的配置文件，我们发现里面指定了创建CA时的目录文件，我们可以用tree命令查看/etc/pki/CA下的文件目录,发现缺少必要的文件所以要创建以上两个文件。

          

 2、CA自签证书
        ·A 生成私钥
         cd  /etc/pki/CA/
        (umask 066; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)
        

私钥必须保存在/etc/pki/CA/private/cakey.pem 这个也是配置文件指定的

       ·B生成自签名证书

       openssl req -new -x509 –key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem

       

       -new: 生成新证书签署请求
       -x509: 专用于CA生成自签证书
       -key: 生成请求时用到的私钥文件
       -days n：证书的有效期限
       -out /PATH/TO/SOMECERTFILE: 证书的保存路径

3、颁发证书
      • A 在需要使用证书的主机生成证书请求
       给web服务器生成私钥
      (umask 066; openssl genrsa -out /etc/pki/tls/private/test.key 2048)

      

      生成证书申请文件
      openssl req -new -key /etc/pki/tls/private/test.key-days 365 -out etc/pki/tls/test.csr

     

     注意：默认国家，省，公司名称三项必须和CA一致

     • B 将证书请求文件传输给CA传给能颁发证书的主机

     

     • C CA签署证书，并将证书颁发给请求者
     openssl ca -in /tmp/test.csr –out /etc/pki/CA/certs/test.crt -days 365

     

     • D 查看证书中的信息：
     openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
     openssl ca -status SERIAL 查看指定编号的证书状态

     

        

      

把签署的证书用sz命令拷贝到Windows桌面，然后修改后缀名为.cer就可以查看证书了

恩目前为止已经建立私有CA，颁发完成了！

 4、吊销证书
      • A 在客户端获取要吊销的证书的serial
       openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject 

            
     • B 在CA上，根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致，吊销证书：
       openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem
     • C 指定第一个吊销证书的编号
        注意：第一次更新证书吊销列表前，才需要执行
        echo 01 > /etc/pki/CA/crlnumber
    · D 更新证书吊销列表
       openssl ca -gencrl -out /etc/pki/CA/crl/crl.pem
5、查看crl文件：
    openssl crl -in /etc/pki/CA/crl/crl.pem -noout -text