搭建私有CA，并颁发证书

步骤

一、创建所需要的文件

所有的有关设置都在 /etc/pki/tls/openssl.cnf 内有相应设置和描述

1.生成的证书索引的数据库文件(CA端)

    默认不存在

 touch /etc/pki/CA/index.txt

2.下一个生成证书的索引编码(CA端)

echo 01 > /etc/pki/CA/serial

二、CA自签证书(CA端)

1.生成私钥(CA端)

(umask 066 ; openssl genrsa -out private/cakey.pem -des3 1024)

2.生成自签名证书(CA端)

 req -new -x509 -key private/cakey.pem -out cacert.pem -days 3000

选项解释：

三.颁发证书

1. 在需要使用证书的主机生成证书请求(服务器端)

生成私钥(服务器端)

 (umask 066 ; openssl genrsa -out /etc/pki/CA/private/test.key -des3 1024)

利用私钥生成请求文件(服务器端)

 openssl req -new  -key private/test.key -out test.csr -days 365 

注意：policy策略是 policy_math时 ；match项必须相同

2.将证书请求文件传输给CA(服务器端)

scp test.csr 172.17.0.116:/etc/pki/CA/

3.CA签署证书，并将证书颁发给请求者(CA端)

#颁发证书
 openssl ca -in test.csr -out certs/test.crt

#颁发的证书发送给申请者
scp certs/test.crt 172.17.1.116:/etc/pki/tls/certs/

4. 查看证书中的信息：

openssl x509 -in /etc/pki/tls/certs/test.crt  -noout -subject -issuer -dates 

#查看证书命令格式
openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates

openssl ca -status SERIAL 查看指定编号的证书状态