用openssl制作小CA做https通信

  什么是CA呢?如果不知道那就问问百度吧!我就不在这里做过多解释,直接进入正题了
  首先CA有其专有的存放位置,在/etc/pki/CA。openssl命令运行的时候需要读取/etc/pki/tls/openssl.cnf。下面介绍其步骤。
  1.修改openssl的配置文件openssl.cnf
     #vim /etc/pki/tls/openssl.cnf
     修改[CA_default]项中的dir  =../../CA
     改为dir = /etc/pki/CA
     注意:该项设置服务的默认工作目录,其后的文件都是相        对于该目录的,在该目录下需要以下几个目录和文        件,分别为,目录certs,crl,newcerts文件index.txt,serial。
    
     也可以修改默认的CA显示信息在[req_distinguishhed_name]
    
     保存退出。
 2.生成私钥
   #cd /etc/pki/CA
   #(umask 077; openssl genrsa 2048 > private/cakey.pem
 3.生成自签证书
   #openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655
  
 4.建立openssl.cnf中定义的那几个目录和文件
   #mkdir certs crl newcerts
   #touch index.txt serial
 5.向serial写入一个序列号
   #echo 01 > serial
   CA证书生产完成。
  
   验证CA:为httpd申请一个CA证书
   1.切换到服务的工作目录中
    #cd /etc/httpd/
   2.创建一个目录存放私钥
    #mkdir certs
    #cd certs
    #(umask077 ; openssl genrsa 1024 > httpd.key)
   3.申请证书
    #openssl req -new -key htpd.key -out httpd.csr
   把httpd.csr送给CA,让CA对其认证。
  
   CA中使用命令
   #openssl ca -in httpd.csr -out httpd.crt
  
   如果客户端想要给http进行ssl加密通信。
    在httpd服务器上安装mod_ssl模块
     #yum install mod_ssl
     并修改/etc/httpd/conf.d/ssl.cnf文件
    并在客户端浏览器上,导入CA证书即可。
 

你可能感兴趣的:(用openssl制作小CA做https通信)