一  

创建私有CA

1.准备工作

  1. 修改/etc/pki/tls/openssl.cnf中dir= ../../CA 为dir= /etc/pki/CA,否则可能会读取ca时出错      

  2.根据openssl.cnf中的要求在/etc/pki/CA目录下分别创建 private,certs,newcerts, crl目录和index.txt,serial文件,并且给echo 01 > serial中给serial文件中添加一个证书申请的第一个编号

2. 在CA目录下的private目录中生成一个ca的私钥

  (umask 077; openssl genrsa -out cakey.pem 2048)注释:此处文件名必须为cakey.pem

3.在CA目录生成一个自签证书的请求加上x509为自签表明自己为ca,否则需要提交

   openssl req -new -x509 -key cakey.pem -out cacert.pem (文件名必须为cacert.pem)

   进入签署模式编辑签署信息,自签署证书生成,私有CA建立完成

   使用openssl x509 -text -in cacert.pem可以查看证书的内容信息

   使用openssl rsa -in cakey.pem -pubout可以提取cakey.pem的公钥

   为应用签署证书

   以httpd为例 

  创建目录/etc/httpd/ssl用来存放证书,目录可以随意起名

    makdir /etc/httpd/ssl

  在/etc/httpd/ssl目录下生成私钥

  (umask 077; openssl genrsa -out httpd.key 2048)

  生成证书请求

   openssl req -new  -key httpd.key  -out httpd.csr 

  调用CA进行签署

  openssl ca -in httpd.csr -out httpd.crt 进入证书签署模式,根据提示进行同意或者拒绝

  htppd.csr请求签署完成