建立私有CA，完成证书申请

建立私有CA及办法证书步骤：

1、创建所需要的文件

touch /etc/pki/CA/index.txt         #生成证书索引数据库文件
echo 01 > /etc/pki/CA/serial       #指定第一个颁发证书的序列号

2、 CA生成签名私钥

cd /etc/pki/CA/
(umask 066; openssl genrsa -out private/cakey.pem 2048)

3、CA生成自签名证书

openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 3650 -out /etc/pki/CA/cacert.pem

4、在需要申请证书的主机
①生成证书申请的签名私钥

(umask 066; openssl genrsa -out /data/test.key 2048)

②生成证书申请文件

openssl req -new -key /data/test.key -out /data/test.csr

5、将证书请求文件传输给CA

6、CA签署证书，并将证书颁发给请求者

openssl ca -in /tmp/test.csr -out /etc/pki/CA/certs/test.crt -days 100

（注意：默认要求 国家，省，公司名称三项必须和CA一致）

查看证书中的信息：

openssl x509 -in /PATH/FROM/CERT_FILE -noout -text|issuer|subject|serial|dates
openssl ca -status SERIAL 查看指定编号的证书状态

吊销证书步骤

1、在客户端获取要吊销的证书的serial

openssl x509 -in /PATH/FROM/CERT_FILE -noout -serial -subject

2、在CA上，根据客户提交的serial与subject信息，对比检验是否与index.txt文件中的信息一致

3、吊销证书：

openssl ca -revoke /etc/pki/CA/newcerts/SERIAL.pem

4、指定第一个吊销证书的编号,注意：第一次更新证书吊销列表前，才需要执行

echo 01 > /etc/pki/CA/crlnumber

5、更新证书吊销列表

openssl ca -gencrl -out /etc/pki/CA/crl.pem

查看crl文件：

openssl crl -in /etc/pki/CA/crl.pem -noout -text