https ca 自签证书安装步骤

1. 生成自签证书 CA 服务器 (假设ip: 10.1.1.100)

    # redhat os
    cd /etc/pki/CA
    # s生成私钥不允许其他人访问, 使用077 umask 控制
    (umask 077; openssl genrsa -out private/cakey.pem 2048)
    # 生成自签证书, 需要刚才生成的私钥
    openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 

2. 给web服务器添加 https (假设ip: 10.1.1.110)

1. 首先web server 需要自己生成一对密钥,然后发送一个请求到CA,让CA给他生成一个证书做一个签署

    cd /etc/httpd/ssl
    # 生成一个1024位的密钥
    (umask 077; openssl genrsa 1024 > httpd.key)

    # 发送一个颁发请求 .csr
    openssl req -new -key httpd.key -out httpd.csr

    # 将该请求发送给CA服务器 (本地就scp 过去了, 如果CA服务器不是本地自己的,就要将该文件发送给证书颁发机构)
    scp httpd.csr 10.1.1.100:/tmp

    # 接下来到CA上去签署该请求
    openssl ca -in /tmp/httpd.csr -out /tmp/httpd.crt -days 3650

    # 生成证书后将该证书在发给请求者(web 服务器 ip: 10.1.1.110), 这时候就可以将/tmp下面的crt文件全部删除了,否则有安全隐患, 同时在/etc/pki/CA/newcets下面也会有一个和/tmp下面一样的证书, 同事 serial文件里面的索引也会自动+1
    scp 10.1.1.100:/tmp/httpd.crt ./

    # 配置web服务器使用该证书 (到这个时候刚才的csr请求文件就可以删除了)
    cd /etc/httpd/conf.d/
    vim ssl.conf